Video: Call of Duty BLACK OPS Cold War te QUEMA la XBOX Series X | Morcilla de Noticias (Noviembre 2024)
Microsoft lanzó siete boletines que corrigieron 34 errores únicos en.NET Framework, el kernel de Windows e Internet Explorer como parte del Patch Tuesday de julio. También hay una nueva política de 180 días para el mercado de Microsoft con respecto a las aplicaciones con errores de seguridad.
De los siete boletines, seis son calificados como críticos, y uno fue calificado como importante, dijo Microsoft en su aviso del martes del parche publicado ayer por la tarde. Microsoft recomendó instalar primero el boletín IE (MS13-055), seguido de uno de los boletines para los controladores del modo kernel de Windows (MS13-053). Los boletines restantes de TrueType y Windows estaban en el siguiente grupo de prioridad, seguido del único parche "importante".
"Todo en el mundo central de Microsoft se ve afectado por uno o más de estos; cada sistema operativo compatible, cada versión de MS Office, Lync, Silverlight, Visual Studio y.NET", dijo Ross Barrett, gerente sénior de ingeniería de seguridad en Rapid7.
Windows 8.1 Preview e IE 11 no se ven afectados por ninguno de estos boletines.
Fuentes feas, feas
Tres boletines separados (MS13-052, MS13-053 y MS13-054) repararon la vulnerabilidad de fuente TrueType en.NET. Este error de fuente TrueType es similar al explotado por Stuxnet y Duqu, excepto por el hecho de que está presente en.NET y no en el núcleo de Windows, dijo Marc Maiffret, CTO de BeyondTrust.
MS13-054 reparó la vulnerabilidad TrueType en GDI +, un componente en el kernel de Windows. La falla afecta a múltiples productos, incluidas todas las versiones compatibles de Windows, Office 2003/2007/2010, Visual Studio.NET 2003 y Lync 2010/2013. Maiffret predijo que esta falla será explotada por los atacantes en el futuro cercano porque muchos productos usan GDI +.
"MS13-053 es el peor del grupo", dijo Tommy Chin, ingeniero de soporte técnico de CORE Security, y agregó: "Es la ejecución remota de código y la escalada de privilegios, todo en uno". Los atacantes pueden diseñar a las víctimas potenciales de ingeniería social para ver un archivo creado con contenido TrueType malicioso. Si tiene éxito, el atacante obtiene acceso de administrador al sistema afectado, dijo Chin.
La vulnerabilidad de día cero en el núcleo de Windows descubierta por el investigador de seguridad Tavis Ormandy también se corrige en este boletín. Teniendo en cuenta que los exploits para esta vulnerabilidad ya están incluidos en marcos públicos como Metasploit, esto debería ser de alta prioridad
explorador de Internet
La actualización masiva de Internet Explorer abordó 17 defectos, de los cuales 16 son vulnerabilidades de corrupción de memoria y uno un error de secuencias de comandos entre sitios. Las fallas de corrupción de memoria se pueden usar en los ataques automáticos donde los atacantes configuran páginas web maliciosas y usan tácticas de ingeniería social para atraer a los usuarios a las páginas maliciosas. Ha habido muchos errores de corrupción de memoria en Internet Explorer en los últimos martes de parches, señaló Maiffret, y agregó: "Es imperativo que este parche se implemente lo antes posible".
Cambio de política de Microsoft Marketplace
Microsoft también anunció un cambio de política relacionado con el mercado de Microsoft. Según la nueva política, cualquier aplicación en cualquiera de las cuatro tiendas de aplicaciones administradas por Microsoft (Windows Store, Windows Phone Store, Office Store y Azure Marketplace) tendrá 180 días para resolver problemas de seguridad. La línea de tiempo se aplica a las vulnerabilidades clasificadas como críticas o importantes, y que no están bajo ataque.
Si no se parchea dentro de ese plazo, la aplicación se eliminará de la tienda, dijo Microsoft. La política se aplica a las aplicaciones de desarrolladores externos y de Microsoft.
"Microsoft está dando un gran paso para minimizar las aplicaciones vulnerables en sus diversas tiendas de aplicaciones", dijo Craig Young, investigador de seguridad de Tripwire.
Sin embargo, vale la pena señalar que 180 días es mucho tiempo, por lo que es muy poco probable que Microsoft termine jalando una aplicación. No es probable que un desarrollador pase más de seis meses reparando una vulnerabilidad crítica, y si la actualización demora más de lo esperado, Microsoft está dispuesto a hacer excepciones.
Teniendo en cuenta eso, la nueva política suena como una forma de que Microsoft suene duro sin afectar negativamente a los desarrolladores.
Más adelante
Este será un mes ocupado para los administradores. Adobe lanzó sus propias actualizaciones, y Oracle lanzará su actualización trimestral de todo su software, excepto Java, la próxima semana.
