Hoy Microsoft publicó sus parches de seguridad correspondientes a este mes, los cuales resuelven problemas para Internet Explorer, Office y Windows, entre otros. Las actualizaciones lanzadas son 14 en total, 8 de las cuales corrigen vulnerabilidades que permitirían la ejecución de código por parte de posibles atacantes en forma remota, y 4 de las cuales son consideradas como críticas.
Todos los meses Microsoft lanza una serie de actualizaciones de seguridad tendientes a resolver vulnerabilidades o errores conocidos en sus aplicaciones. Dichos parches de seguridad son puestos a disposición de la comunidad el segundo martes de cada mes, lo cual a menudo se conoce como los martes de parches. Esta es una práctica que el gigante de Redmond viene realizando desde el 2003 y supone varias ventajas tanto para las empresas como para el usuario final. Principalmente, el hecho de conocer con antemano cuándo van a estar disponibles los parches permite a los usuarios gestionar la seguridad de manera más efectiva, de tal modo de tener los equipos listos para la actualización el segundo martes de cada mes. Sin embargo, también existen críticas al modelo, relacionadas con aquellas vulnerabilidades importantes que se detectan antes y no son resueltas sino hasta el martes de parches. Con respecto a esto, es importante destacar que aquellas correcciones que resulten críticas, o que resuelvan vulnerabilidades 0-day, en algunos casos son lanzadas en forma extraordinaria, dada la necesidad de corregir el problema en forma urgente.
Luego, las vulnerabilidades que son corregidas por los parches publicados pueden ser clasificadas de acuerdo con su importancia en:
- Críticas: aquellas vulnerabilidades cuya explotación permitiría la ejecución de código sin la confirmación del usuario. Es recomendable que ellas sean tratadas de forma inmediata.
- Importantes: vulnerabilidades cuya explotación podría poner en peligro la confidencialidad, integridad o disponibilidad de la información del usuario. En este caso sí interviene el accionar del usuario en la explotación, ya sea proveyendo una confirmación o realizando una secuencia de acciones que desencadene la ejecución de código malicioso.
- Moderadas: el impacto de este tipo de vulnerabilidades puede ser menor, debido a requerimientos de autenticación o condiciones anormales de ejecución para poder llevar a cabo la explotación. Es recomendable aplicar las actualizaciones, si bien el usuario podría decidir no hacerlo.
- Bajas: el impacto de este tipo de vulnerabilidades es mitigado en un factor importante por las propias características del componente afectado. Por ello, se recomienda que los clientes evalúen si van a aplicar o no la actualización.
Es así que en el día de la fecha Microsoft ha lanzado 14 parches de seguridad que resuelven cerca de 50 vulnerabilidades, donde 4 de ellos han sido clasificados como críticos, requiriendo su aplicación de forma inmediata, y los 10 restantes son clasificados como importantes. Las vulnerabilidades más críticas afectan a las plataformas de SharePoint Server, Outlook, Internet Explorer, Windows XP y Windows Server 2003. Así, por ejemplo, la vulnerabilidad más importante de SharePoint que se ha corregido permitiría a un atacante enviar contenido con un formato especial al servidor objetivo, el cual, al no poder ser procesado de forma correcta, posibilitaría la ejecución de código en forma remota. Adicionalmente, se puede notar que la mitad de los parches solucionan vulnerabilidades encontradas en Office y Windows.
Se observa que la necesidad de actualización no es menor, dado que más de la mitad de los parches corrigen vulnerabilidades que permiten a los atacantes la ejecución de código malicioso en forma remota, siendo algunos de los parches críticos, por lo que las vulnerabilidades asociadas no requieren de la interacción o confirmación del usuario para su explotación. Por ello, desde ESET Latinoamérica recomendamos al usuario mantener siempre su sistema operativo y aplicaciones actualizadas, ante los peligros existentes.
Matías Porolli
Especialista de Awareness & Research
