Saltar al contenido
computerg

🥇 Las Actualizaciones Del Navegador Están De Vuelta Para El Parche Del Martes De Mayo

mayo 14, 2021

            Con 55 actualizaciones, tres vulnerabilidades reportadas públicamente y exploits reportados públicamente para Adobe Reader, la actualización del martes de parches de esta semana requerirá tiempo y pruebas antes de la implementación.  Hay casos de prueba difíciles (lo estamos analizando, OLE) y las actualizaciones del kernel conducen a implementaciones riesgosas.  Concéntrese en las correcciones de IE y Adobe Reader, y tómese su tiempo con las actualizaciones (técnicamente complejas) de Exchange y Windows. 

Hablando de tomarse su tiempo, si todavía tiene Windows 10 1909, este es su último mes de actualizaciones de seguridad.

Las tres vulnerabilidades reveladas públicamente este mes incluyen:

  • CVE-2021-31204 – Importante vulnerabilidad de elevación de privilegios de .NET y Visual Studio
  • CVE-2021-31207 Omisión de la función de seguridad de Microsoft Exchange Server
  • CVE-2021-31200 Vulnerabilidad de ejecución remota de código en utilidades comunes Importante

Puede encontrar esta información resumida en esta infografía.

Casos de prueba clave

Este mes no se informaron cambios de alto riesgo en la plataforma Windows. Para este ciclo de parches, hemos dividido nuestra guía de prueba en dos secciones:

Microsoft Office

  • El escenario principal para probar es convertir documentos heredados (* .doc) que contienen formas e imágenes al formato de documento moderno (* .docx). El cambio está en wordconv.exe.
  • Pruebe la carga y la adición de gráficos, con el importantísimo régimen de pruebas Archivo / Abrir / Imprimir / Guardar (FOPS).
  • Para Sharepoint, pruebe agregar elementos web a un sitio de PRUEBA, especialmente DataFromWebPart

Plataformas de escritorio y servidor de Windows

  • Bluetooth: las llaves externas (IrDA y conexiones de mouse en particular) requerirán una prueba de conexión.
  • Las fuentes necesitarán ser probadas, especialmente las fuentes privadas (una prueba FOPS probablemente será suficiente).
  • Pruebe la redirección de carpetas y observe cualquier problema de rendimiento de E / S.

Y aquí está el caso de prueba que debería alegrar los corazones de todos los ingenieros de escritorio (y servidores): debe probar la automatización OLE este mes. ¿Qué significa? Básicamente, esto se traduce en encontrar (y probar) la lógica empresarial clave en aplicaciones críticas desarrolladas internamente que se basan en componentes complejos, múltiples e interrelacionados que a veces requieren un servicio remoto desde un servidor remoto. versión muy específica de Visual Basic 5.

Problemas conocidos

Cada mes, Microsoft incluye una lista de problemas conocidos del sistema operativo y la plataforma incluidos en este ciclo de actualización. A continuación, se muestran algunos problemas clave con las últimas versiones de Microsoft, que incluyen:

  • Los certificados del sistema y del usuario se pueden perder al actualizar un dispositivo de Windows 10 1809 o posterior a una versión más reciente de Windows 10. Los dispositivos solo se verán afectados si ya han instalado la última actualización. Actualización acumulativa (LCU) publicada el 16 de septiembre de 2020 o posterior y luego actualice a una versión posterior de Windows 10 desde cualquier medio o fuente de instalación [that] no tiene LCU lanzado el 13 de octubre de 2020 o posterior integrado.
  • Microsoft Edge Legacy se puede eliminar con esta actualización en dispositivos con instalaciones de Windows creadas a partir de medios sin conexión personalizados o una imagen ISO personalizada, pero no se reemplaza automáticamente por el nuevo Microsoft Edge.
  • Después de instalar KB4467684, es posible que el servicio de Cluster Server no se inicie con el error «2245 (NERR_PasswordTooShort)» si la directiva de grupo «Longitud mínima de contraseña» está configurada con más de 14 caracteres.

También puede encontrar el resumen de problemas conocidos de Microsoft para esta versión en una página.

Revisiones importantes

Microsoft no ha publicado (hasta el 14 de mayo) ninguna revisión importante para esta actualización del martes.

Mitigaciones y soluciones

Hasta ahora, no parece que Microsoft haya lanzado ninguna mitigación o solución alternativa para esta versión de abril.

Cada mes, dividimos el ciclo de actualización en familias de productos (según la definición de Microsoft) con las siguientes agrupaciones básicas:

  • Navegadores (Microsoft IE y Edge);
  • Microsoft Windows (escritorio y servidor);
  • Microsoft Office (incluidas las aplicaciones web y Exchange);
  • Plataformas de desarrollo de Microsoft (ASP.NET Core, .NET Core y Chakra Core);
  • Adobe (Reader, sí Reader).

Navegadores

Las actualizaciones del navegador están de vuelta con fuerza. Y, esta vez, es personal. Holy cow: 35 actualizaciones críticas para Edge (la versión Chromium) y una actualización crítica para Internet Explorer 11 (IE11). Todas las vulnerabilidades reportadas podrían conducir a un escenario de ejecución remota de código. Todas.

Las actualizaciones de Chromium deberían ser relativamente fáciles de implementar debido a la separación del proyecto Chromium del sistema operativo de escritorio. La actualización de IE11 es una actualización binaria completa. Todas las aplicaciones heredadas deberán probarse con esta nueva versión. Agregue esta actualización a su esfuerzo de publicación Patch Now.

Microsoft Windows

Microsoft ha publicado tres actualizaciones consideradas críticas y 22 consideradas importantes para este ciclo. Las correcciones críticas abordan problemas en Hyper-V, la forma en que Windows maneja las solicitudes HTTP y los problemas del servidor de automatización OLE. No vemos una necesidad urgente de clasificar estas vulnerabilidades reportadas como «Revisión ahora» y creemos que será necesario realizar pruebas antes de la implementación en producción. Para aumentar estas preocupaciones, Microsoft ha publicado algunos problemas menores de la interfaz de usuario con esta actualización:

“La actualización de mayo de Windows puede hacer que los controles de la barra de desplazamiento aparezcan en blanco en la pantalla y no funcionen. Este problema afecta a las aplicaciones de 32 bits que se ejecutan en Windows 10 (WOW64) de 64 bits que crean barras de desplazamiento utilizando una superclase de barra de desplazamiento de ventana USER32.DLL. Además, puede producirse un aumento en el uso de memoria de hasta 4 GB en aplicaciones de 64 bits cuando crea un control de barra de desplazamiento. »

Las actualizaciones de seguridad de este mes cubren las siguientes áreas funcionales principales de Windows:

  • Marcos de aplicación y plataforma Windows;
  • Kernel de Windows;
  • Motor de secuencia de comandos de Microsoft;
  • Plataforma Windows Silicon.

La revisión con la calificación más alta de este mes es CVE-2021-31194, una vulnerabilidad grave en Microsoft OLE Automation Engine. Esta actualización será difícil de probar porque necesitará encontrar una aplicación con un servidor OLE y comparar los resultados entre las dos versiones. Microsoft también ha brindado consejos sobre cómo eliminar el acceso remoto a las bases de datos JET, que puede encontrar aquí. Agregue estas actualizaciones de Windows a su ciclo de lanzamiento estándar con un enfoque en probar sus aplicaciones comerciales principales para las dependencias de OLE, JET e Hyper-V.

Microsoft Office

Las correcciones y actualizaciones de la Plataforma de productividad de Microsoft Office de este mes afectan a las siguientes versiones base:

  • Office 2013 (cliente): SP1 – 15.0.4569.1506;
  • SharePoint 2013 (servidor): SP1 – 15.0.4569.1506 y 15.0.4571.1502;
  • Office 2016 (cliente): RTM – 16.0.4266.1001;
  • SharePoint 2016 (servidor): RTM – 16.0.4351.1000.

Tenemos un viaje fácil este mes con las correcciones de Office. No hay vulnerabilidades calificadas como críticas y solo 17 calificadas como importantes. Si todavía usa bases de datos JET, deberá asegurarse de haber eliminado el acceso remoto con esta nota de soporte de Microsoft. Agregue estas correcciones relativamente menores a su programa de actualización estándar de Office.

Microsoft Exchange

Después de actualizar Adobe Reader (ver más abajo), deberá dedicar algún tiempo a la última actualización de Microsoft Exchange Server. Con tres actualizaciones calificadas como importantes y solo un parche publicado como moderado, este ciclo de actualización está asociado con problemas graves de suplantación de identidad y omisión de seguridad.

Microsoft ha publicado la siguiente nota sobre el desafío técnico de actualizar su servidor Exchange, que incluye: «Cuando intenta instalar manualmente esta actualización de seguridad haciendo doble clic en el archivo de actualización (.MSP) para ejecutarlo en modo normal (es decir, no como administrador ), algunos archivos no se actualizan correctamente. Cuando se produce este problema, no recibe un mensaje de error ni ninguna indicación de que la actualización de seguridad no se instaló correctamente. Sin embargo, Outlook Web Access (OWA) y el Panel de control de Exchange (ECP) pueden dejar de funcionar. »

Tómate tu tiempo, estos problemas no son urgentes (como el mes pasado). Todavía estamos escuchando y experimentando problemas al actualizar el servidor de Exchange y, aunque no esperaríamos ningún problema de compatibilidad o funcionalidad con esta actualización de Exchange, la logística correcta con esta actualización de mayo puede requerir atención. Agregue esta actualización de Exchange Server a su régimen habitual de lanzamiento de parches.

Plataformas de desarrollo de Microsoft

Microsoft ha lanzado cinco actualizaciones de herramientas para desarrolladores, todas las cuales se consideraron importantes, que afectan a Visual Studio y Microsoft .NET (que tiene una dependencia de interconexión con Visual Studio). Los siguientes grupos de productos específicos se actualizan este mes:

  • Visual Studio Code Remote – Extensión de contenedor;
  • Microsoft Visual Studio 2019;
  • .NET 5.0 y .NET Core 3.1.

La actualización del componente Visual Studios Container (CVE-2021-31204) probablemente requiera la mayor atención este mes, debido al informe público de esta vulnerabilidad de ejecución remota de código. Los cuatro problemas restantes requieren la interacción del usuario y el acceso local al sistema de destino (de ahí la nota importante de Microsoft). Agregue estas actualizaciones a su ciclo de lanzamiento de actualizaciones de desarrollo estándar.

Adobe (este mes es Reader, Adobe Reader)

Aunque Microsoft no incluyó un parche de Adobe en su ciclo de lanzamiento, hubo un parche crítico para Adobe Reader en la última actualización del parche de Adobe. Adobe ha informado que la vulnerabilidad CVE-2021-28550 ha sido explotada en estado salvaje. Desafortunadamente, esto hace que el problema de Adobe sea un día cero que afecta a todos los dispositivos de Microsoft con una vulnerabilidad de ejecución remota de código que podría resultar en acceso completo al sistema comprometido.

Agregue la actualización de Adobe Reader a su programa de lanzamiento «Patch Now». Y sí, realmente pensé que podríamos quitar esta sección. Quizás la próxima vez.

<p>Copyright © 2021 IDG Communications, Inc.</p>


Source link