El paquete de parches del martes también ha sido arreglado. miniplasmaVulnerabilidad separada revelada por Nightmare Eclipse. Microsoft dijo por correo electrónico que la vulnerabilidad se rastrea como CVE-2020-17103, una vulnerabilidad que Microsoft solucionó por primera vez hace seis años. Esto significa que MiniPlasma es el resultado de una regresión o de un parche incompleto en su forma inicial. La compañía está en el proceso de actualizar el boletín del martes para tener en cuenta la republicación.
Microsoft no ha publicado parches para las otras vulnerabilidades expuestas por Nightmare Eclipse. La compañía proporcionó un manual de instrucciones para mitigar YellowKey, una vulnerabilidad que permite a los atacantes anular el cifrado completo del disco Bitlocker. Esto puede ser una ventaja cuando un atacante tiene acceso físico al dispositivo (el escenario exacto contra el que Bitlocker está diseñado para proteger). La empresa aún no ha solucionado la causa raíz de la vulnerabilidad.
El estado de otras vulnerabilidades reveladas por Nightmare Eclipse tampoco está claro en este momento. Los investigadores mencionan una vulnerabilidad que existe en Windows Defender sol rojo. Otro, llamado BlueHammer, también es una falla de escalada de privilegios local que otorga privilegios del SISTEMA.
En los últimos meses, Nightmare Eclipse se ha arriesgado mucho en Microsoft. Las críticas específicas siguen sin estar claras, pero muchas apuntan a quejas sobre el programa de divulgación de vulnerabilidades de la empresa. Microsoft, a su vez, lo tiene vilipendiado en público contra investigadores por revelar “irresponsablemente” vulnerabilidades y proporcionar referencias veladas a posibles acciones legales. Después de recibir una fuerte reacción del público, Microsoft cedió y prometió no emprender tales acciones legales.
El martes, el eclipse de pesadilla. publicado Explotar código para nuevas vulnerabilidades de Windows. Esta es una condición de carrera que apunta al Defensor.
El lote de parches del martes incluye correcciones para unas 200 vulnerabilidades. Aunque MiniPlasma ha sido reparado, también se confirmó que dos de ellos eran de día cero.
Publicación actualizada para incluir información que Microsoft proporcionó después de la publicación inicial de esta publicación.
