Microsoft heeft twee zerodaylekken in Windows gerepareerd. Tijdens Patch Tuesday werden in totaal 120 bugs gefixt, waaronder een bug in Internet Explorer en een spoofing-kwetsbaarheid die actief werden uitgebuit.
Van de 120 bugs zijn er 17 als 'kritiek' aangemerkt, blijkt uit de releasenotes van cumulative updates KB4566783 en KB4565351. Verder zijn 103 updates 'belangrijk'. Het is de derde grootste Patch Tuesday van Microsoft; alleen die in juni en juli van dit jaar waren groter.
Tussen de kwetsbaarheden zaten twee zerodays. Die bugs werden actief misbruikt, zegt Microsoft. Het gaat om een memory corruption-kwetsbaarheid in Internet Explorer met code CVE-2020-1380. Met die kwetsbaarheid kon een aanvaller via een phishingwebsite een slachtoffer infecteren en zo programma's installeren of nieuwe admingebruikers aanmaken. Het andere lek is CVE-2020-1464, een spoofing-kwetsbaarheid waarbij aanvallers een handtekening van een bestand konden namaken en zo zelf geïnfecteerde bestanden makkelijker konden installeren.
Een van de 'kritieke' bugs heeft betrekking op privilege escalation. Die krijgen doorgaans niet zo'n classificatie. Het gaat om CVE-2020-1472, waarbij een aanvaller een Netlogon-connectie kan leggen met een domain controller via het Netlogon Remote Protocol.