Vulnerabilidade de elevação de privilégio no instalador de módulos do Windows

CVE-2020-1346
Vulnerabilidade de Segurança

Lançado: 14 de jul de 2020

Assigning CNA
Microsoft
CVE.org link
CVE-2020-1346

Resumo Executivo

Existe uma vulnerabilidade de elevação de privilégio quando o Instalador de Módulos do Windows manipula incorretamente as operações de arquivo. Um invasor que conseguir explorar essa vulnerabilidade poderá obter privilégios elevados.

Para explorar a vulnerabilidade, um invasor precisaria primeiro da execução do código no sistema de uma vítima. O atacante pode então executar um aplicativo especialmente criado.

A atualização de segurança elimina a vulnerabilidade, garantindo que o Instalador de Módulos do Windows lide adequadamente com as operações de arquivo.

Exploração

A tabela a seguir fornece uma avaliação de exploração dessa vulnerabilidade no momento da publicação original.

Publicly disclosed
Não
Exploited
Não
Exploitability assessment
Probabilidade menor de exploração

Perguntas frequentes

Quais atualizações eu preciso instalar para estar protegido contra essa vulnerabilidade?

Para se proteger contra essa vulnerabilidade, os clientes precisam instalar as SSUs (julho de 2020), listadas na tabela Atualizações de segurança.

Preciso instalar as Atualizações da pilha de manutenção e as Atualizações de segurança de julho em qualquer ordem específica?

As SSUs sempre devem ser instaladas antes de qualquer nova atualização para Windows, incluindo a mais recente atualização cumulativa (LCU), o pacote cumulativo mensal ou a atualização de segurança.

Agradecimentos

  • Linshuang Li
  • Zhiniang Peng (@edwardzpeng) and Fangming Gu (@afang5472)
A Microsoft reconhece os esforços dos membros da comunidade de segurança que nos ajudam a proteger os consumidores graças à divulgação coordenada de vulnerabilidades. Consulte Agradecimentos para obter mais informações.

Atualizações de segurança

Para determinar o ciclo de vida de suporte de seu software, consulte o Ciclo de vida de suporte da Microsoft.

Data de lançamento Descending
All results loaded
Todas as 44 linhas foram carregadas

Aviso de isenção de responsabilidade

As informações fornecidas na Base de Dados de Conhecimento da Microsoft são apresentadas "no estado em que se encontram", sem qualquer tipo de garantia. A Microsoft se isenta de todas as garantias, expressas ou implícitas, inclusive as garantias de comercialização e adequação a um propósito específico. Em hipótese alguma a Microsoft Corporation ou seus fornecedores serão responsáveis por quaisquer danos, inclusive danos diretos, indiretos, incidentais, consequenciais, danos por lucros cessantes ou danos especiais, mesmo que a Microsoft Corporation ou seus fornecedores tenham sido alertados da possibilidade dos referidos danos. Como alguns estados não permitem a exclusão ou limitação de responsabilidade por danos consequenciais ou indiretos, a limitação acima pode não ser aplicável a você.

Revisões

Qual é seu nível de satisfação com o Guia de Atualização de Segurança do MSRC?