Microsofts och Adobes månatliga säkerhetsuppdateringar för november

Microsoft har släppt månatliga säkerhetsuppdateringar för november månad, inkluderad är även en patch för Windows zero-day (CVE-2020-17087) [1]. Säkerhetsuppdateringarna hanterar totalt 112 sårbarheter i Windows och några andra programvaror, varav 17 är kritiska. Zero-day CVE-2020-17087 finns i Windows-kärnan och det finns kända fall av att denna utnyttjas aktivt. Den påverkar alla versioner av Windows OS efter Windows 7 och alla Windows Server-distributioner. Angriparen använder Chrome zero-day för att köra skadlig kod och sedan Windows zero-day för att undkomma Chrome Security sandbox och höja kodens privilegier för att därefter attackera det underliggande operativsystemet.Det finns flera sårbarheter i månadens uppdatering som kan utnyttjas för att fjärrköra godtycklig kod och ta kontroll över klienter och system (remote code execution) och flera av dessa har fått CVSS-klassificeringen 9.8 av 10.Adobe har publicerat kritiska sårbarheter som berör Adobe Acrobat och Reader för Windows och macOS [2].

Påverkade produkter

Microsoft WindowsMicrosoft Office och Microsoft Office Services och Web AppsInternet ExplorerMicrosoft Edge (EdgeHTML-based)Microsoft Edge (Chromium-based)ChakraCoreMicrosoft Exchange ServerMicrosoft DynamicsMicrosoft Windows Codecs LibraryAzure SphereWindows DefenderMicrosoft TeamsAzure SDKAzure DevOpsVisual StudioAdobe Acrobat Adobe Reader

Rekommendationer

CERT-SE rekommenderar att snarast möjligt installera säkerhetsuppdateringarna.

Källor

[1] https://msrc.microsoft.com/update-guide/en-us [2] https://helpx.adobe.com/security.html