Video: БЛОКЧЕЙН-ДВИЖОК CEZO | Операционная система для DApps (Noviembre 2024)
Es una trifecta de parches de software, con Microsoft, Adobe y Oracle lanzando actualizaciones de seguridad el mismo día.
Como se esperaba, Microsoft comenzó 2014 con un lanzamiento de Patch Tuesday bastante ligero, reparando seis vulnerabilidades no tan críticas en cuatro boletines de seguridad. El mismo día, Adobe emitió dos actualizaciones críticas que corrigieron tres fallas críticas de ejecución remota de código en Adobe Reader, Acrobat y Flash. Una peculiaridad de la programación significó que la Actualización de parches críticos trimestrales de Oracle también cayó el mismo martes, lo que resultó en un gran volumen de parches para que los administradores de TI puedan lidiar. Oracle corrigió 144 vulnerabilidades en 40 productos, incluidos Java, MySQL, VirtualBox y su base de datos insignia de Oracle.
"Si bien Microsoft solo está lanzando cuatro actualizaciones, hay mucho trabajo para los administradores de TI debido a los lanzamientos de Adobe y Oracle", dijo Wolfgang Kandek, CTO de Qualys.
Los parches Java de Oracle deberían tener la máxima prioridad, seguidos de los avisos de Adobe Reader y Flash, y luego las actualizaciones de Microsoft Word y XP, dijeron los expertos.
Oracle toma en Java
Incluso teniendo en cuenta que Oracle parchea trimestralmente y está arreglando más productos, esta CPU sigue batiendo récords en la cantidad de problemas resueltos. De los 144 defectos de seguridad, 82 podrían considerarse críticos, ya que pueden explotarse de forma remota sin autenticación.
La mayoría de las vulnerabilidades tratadas en la gigantesca CPU de Oracle estaban en Java v7. Oracle corrigió 34 fallas de ejecución remota, con varias puntuaciones 10 en la escala del Sistema de puntuación de vulnerabilidad común. CVSS indica la gravedad de la falla y la probabilidad de que el atacante obtenga el control total del sistema.
Java fue uno de los softwares más atacados en 2013 y los expertos advirtieron que continuará siendo un objetivo popular. Si no lo usa, desinstálelo. Si necesita tener Java instalado, al menos deshabilítelo en el navegador web, ya que todos los ataques hasta ahora han atacado el navegador. Si accede a aplicaciones web que requieren Java, manténgala en un navegador web diferente al predeterminado y cambie cuando sea necesario. Si no lo necesita, no lo guarde. Si lo conserva, parchee inmediatamente.
Oracle también corrigió cinco fallas de seguridad en su propia base de datos Oracle, una de las cuales puede explotarse de forma remota y 18 vulnerabilidades en MySQL. Tres de esos errores podían ser atacados de forma remota y tenían un puntaje CVSS máximo de 10. El software del servidor Solaris tenía 11 fallas, incluyendo una que podía ser atacada de manera remota. El error más grave de Solaris tenía una puntuación CVSS de 7.2. La CPU abordó nueve problemas en el software de virtualización de Oracle, que incluye el software de virtualización VirtualBox, de los cuales cuatro podrían activarse de forma remota. La puntuación máxima de CVSS fue de 6.2.
Si está ejecutando alguno de estos productos, es importante actualizarlos de inmediato. MySQL es ampliamente utilizado como sistema de back-end para varios CMS populares y software de foros, incluidos WordPress y phpBB.
Lector y arreglos de flash
Adobe solucionó problemas de seguridad en Adobe Flash, Acrobat y Reader, que si se explotaban, darían a los atacantes el control total del sistema de destino. El vector de ataque para el error de Acrobat y Reader era un archivo PDF malicioso. La falla de Flash podría explotarse visitando páginas web maliciosas o abriendo documentos con objetos Flash incrustados.
Si tiene activadas las actualizaciones en segundo plano para los productos de Adobe, las actualizaciones deben ser perfectas. Los usuarios con Google Chrome e Internet Explorer 10 y 11 no tendrán que preocuparse por la nueva versión de Flash ya que los navegadores actualizarán el software automáticamente.
Actualización ligera de Microsoft
Microsoft corrigió una vulnerabilidad de formato de archivo en Microsoft Word (MS14-001) que se puede explotar de forma remota si el usuario abre un archivo de Word con trampa explosiva. Afecta a todas las versiones de Microsoft Word en Windows, incluidos Office 2003, 2007, 2010 y 2013, así como a los visores de documentos de Word. Los usuarios de Mac OS X no se ven afectados.
La vulnerabilidad de día cero (CVE-2013-5065) que afecta a los sistemas Windows XP y Server 2003 que se descubrió en la naturaleza en noviembre pasado finalmente se ha corregido (MS14-002). Aunque el defecto de escalada de privilegios en NDProxy no se puede ejecutar de forma remota, debe ser de alta prioridad porque se puede combinar con otras vulnerabilidades. Los ataques en noviembre utilizaron un documento PDF malicioso para desencadenar por primera vez una falla en Adobe Reader (que fue parcheado en mayo de 2013 en APSB13-15) para acceder al error del kernel de Windows. Microsoft solucionó una falla de escalada de privilegios similar en Windows 7 y Server 2008 (MS14-003).
"Si está preocupado por 002 y no por 003, es probable que tenga algunos problemas en abril cuando finalice el soporte para Windows XP", dijo Rapid7.
Por sí solas, estas vulnerabilidades pueden no ser críticas, pero combinadas pueden ser mucho más graves, advirtió Trustwave. Si una campaña que utiliza un documento de Office malicioso ejecuta código dirigido al error de elevación de privilegios, "entonces un correo electrónico de phishing a un usuario desprevenido sería todo lo que se necesita", dijo el equipo.
