Depois de uma sequência movimentada de atualizações em outubro, novembro e dezembro, o primeiro Patch Tuesday do ano novo entrega uma carga de trabalho mais leve.

No total, há 49 correções com CVEs, dois avisos que afetam a Adobe e as atualizações da pilha de serviços do Windows 10 (veja abaixo), com uma avaliação modesta de sete pontos críticos.

Em uma mudança bem-vinda dos últimos meses, não há falhas de dia zero, embora uma, uma falha de Execução de Código Remoto (RCE) no mecanismo de banco de dados Jet (CVE-2019-0579), foi divulgado publicamente, obtendo assim uma classificação “importante”.

Curiosamente, a Jet é responsável por 11 CVEs, ganhando o prêmio por ser o componente mais corrigido deste mês, à frente do OS kernel, do SharePoint e do Office, em quatro correções a mais que cada.

As sete vulnerabilidades de classificação crítica são todas RCEs, incluindo CVE-2019-0547 no Cliente DHCP do Windows para todas as versões do Windows 10 1803, que, devido ao atraso de 1809 (atualização de outubro de 2018), muitas ainda devem estar em execução.

O CVE-2019-0550 e o CVE-2019-0551 são RCEs que afetam o Windows Hyper-V, enquanto o CVE-2019-0565 é uma falha de corrupção de memória no navegador Edge.

Arredondando estas são três falhas de corrupção de memória no mecanismo de script Chakra, CVE-2019-0539, CVE-2019-0568 e CVE-2019-0567.

Uma falha interessante de baixa prioridade é o CVE-2019-0622, um bug de elevação de privilégio (EoP) que afeta o aplicativo Skype para Android e que permite que alguém com acesso físico ignore o bloqueio de tela do Android, dando acesso a fotos e contatos.

Como exceção para quem ainda usa o Windows 10 1703 (Atualização de criadores de 2007), a Microsoft recomenda que os usuários apliquem primeiro as atualizações de pilha de serviços (SSU), a parte do Windows responsável pela atualização.

Exchange

Se houver uma curiosidade este mês, pode ser o CVE-2019-0586, que a Microsoft classifica como importante em vez de crítico, apesar do fato ligeiramente alarmante que a avaliação da empresa declara:

A exploração da vulnerabilidade requer que um e-mail especialmente criado seja enviado para um servidor Exchange vulnerável.

Pelo menos um especialista apontou que, como o Exchange é um servidor de mensagens, isso pode não ser uma barreira, já que os invasores sabem como criar a exploração correta.

Se você usa o Exchange, definitivamente coloque isso na sua lista de teste e implantação.

Adobe

As atualizações da Adobe no Patch Tuesday correspondem ao APSB19-01 da semana passada (uma atualização não relacionada à segurança do Flash) e APSB19-02 (Acrobat / Reader) que abordou o CVE-2018-16011 e o CVE-2018-1618, ambas falhas críticas.

Com informações do blog Naked Security, da Sophos.