Header Ads Widget

Ticker

6/recent/ticker-posts

Las actualizaciones del navegador están de vuelta. Es posible que se necesiten pruebas para los parches de Windows.

Microsoft lanzó112 actualizaciones para sus plataformas Windows, navegador, desarrollo y Office. Pero no hubo días cero o informes de vulnerabilidades explotadas públicamente.


Aunque volvemos a las actualizaciones mensuales del navegador después del breve respiro del mes pasado, ninguno de los problemas de seguridad del navegador de este noviembre son susceptibles de gusanos y no hemos visto nada que requiera volver a un ciclo urgente de actualización del navegador. La plataforma Windows recibe la mayor atención esta vez, pero ningún problema individual requiere una implementación inmediata, aunque algunos sistemas heredados pueden requerir pruebas completas para aplicaciones gráficamente intensivas que dependen de la tecnología de conversión de gráficos / medios más antigua. Y Microsoft Office y las plataformas de desarrollo asociadas reciben algunos parches de menor calificación, con recomendaciones para un régimen de implementación estándar. 

Hemos incluido una  infografía útil que este mes parece un poco torcida, ya que toda la atención debería estar en los componentes de Windows.

Escenarios de prueba clave
Trabajando con Microsoft, hemos desarrollado un sistema que interroga las actualizaciones de Microsoft y compara cualquier cambio de archivo (deltas) publicado cada mes con nuestra biblioteca de pruebas. El resultado es una matriz de prueba de "puntos calientes" que impulsa nuestro proceso de prueba de cartera. Este mes, nuestro análisis del lanzamiento del martes de parches generó los siguientes escenarios de prueba:

  • Pruebe la conexión a través de la Conexión de escritorio remoto y una VPN y confirme que las operaciones de copiar / pegar entre los dispositivos y los dispositivos conectados sean exitosas.
  • Pruebe aplicaciones que muestren ventanas grandes en dispositivos habilitados para GPU.
  • Confirme que los archivos EMF se reproducen como se esperaba y que los archivos EMF se pueden convertir correctamente en archivos EMF +.
  • Pruebe las aplicaciones de JScript que utilizan llamadas de función recursivas.
  • Problemas conocidos
  • Cada mes, Microsoft incluye una lista de problemas conocidos relacionados con el sistema operativo y las plataformas incluidas en este ciclo de actualización. A continuación, se muestran algunos problemas clave relacionados con las últimas versiones de Microsoft:

Microsoft SharePoint (2016 y 2019): cuando intenta instalar manualmente esta actualización de seguridad haciendo doble clic en el archivo de actualización (.msp) para ejecutarlo en modo Normal (es decir, no como administrador), algunos archivos no se actualizan correctamente . Para completar la instalación y asegurarse de que la actualización se aplique correctamente, Microsoft proporciona aquí los detalles de la solución .
Windows 10 (1909 y posterior): los certificados del sistema y del usuario pueden perderse al actualizar un dispositivo de Windows 10, versión 1809 o posterior a una versión más reciente de Windows 10. Para obtener más información sobre los problemas, los pasos de la solución alternativa y los problemas actualmente resueltos , consulte KB4564002 .
Windows 10 (2004 y posteriores): Ciertos caracteres Katakana de ancho medio y Katakana de ancho completo japoneses que tienen una marca consonante no se interpretan como el mismo carácter. No hay correcciones publicadas ni soluciones alternativas en este momento.
Windows ESU: después de instalar esta actualización y reiniciar su dispositivo, es posible que reciba el error "Error al configurar las actualizaciones de Windows. Deshaciendo cambios. No apague su computadora. "Microsoft está trabajando en esto. Sugiero esperar hasta la próxima semana antes de implementaciones a gran escala en sistemas heredados.
Puede encontrar el resumen de problemas conocidos de Microsoft para esta versión en una sola página. .

Revisiones importantes
Este mes, tenemos una única revisión importante por motivos de documentación publicada por Microsoft:

CVE-2020-16943 : Las plataformas de destino aplicables se han actualizado para esta vulnerabilidad a Microsoft Dynamics. No se requieren mas acciones.
Mitigaciones y soluciones
Microsoft publicó una pequeña cantidad de soluciones provisionales y estrategias de mitigación que se aplican a las vulnerabilidades (CVE) abordadas este mes, que incluyen:

CVE-2020-17049 : Microsoft publicó pasos adicionales para mitigar el efecto de una vulnerabilidad en la infraestructura Kerberos de Windows relacionada con la clave de registro: HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Services \ Kdc
CVE-2020-17052 : Microsoft publicó una mitigación recomendada para esta vulnerabilidad en el componente MS Script (tal como lo consumen todos los navegadores de Microsoft) que afecta la limitación de la red. Se incluye más información en la sección Navegador (a continuación).
Cada mes, dividimos el ciclo de actualización en familias de productos (según la definición de Microsoft) con las siguientes agrupaciones básicas:
  • Navegadores (Microsoft IE y Edge)
  • Microsoft Windows (tanto de escritorio como de servidor)
  • Microsoft Office (incluidas aplicaciones web y Exchange)
  • Plataformas de desarrollo de Microsoft ( ASP.NET Core, .NET Core y Chakra Core)
  • Adobe Flash Player
Navegadores
Microsoft ha lanzado cinco actualizaciones para plataformas de navegadores, cuatro de las cuales han sido calificadas como críticas y la actualización restante calificada como importante por Microsoft. Estas actualizaciones del navegador se agrupan en grupos funcionales:

Navegadores Microsoft: problemas de corrupción relacionados con la memoria ( CVE-2020-17053 , CVE-2020-17058 );
Motor de secuencias de comandos de Microsoft ( CVE-2020-17052 );
Motor de secuencias de comandos de Microsoft Chakra ( CVE-2020-17048 , CVE-2020-17054 ),
Uno de los parches del navegador ( CVE-2020-17052 ) tiene una mitigación recomendada para esta vulnerabilidad que incluye:

"Para abordar esta vulnerabilidad, se podría definir una política de limitación para las suscripciones de EWSMax y aplicarla a la organización con un valor de cero. Esto evitará que el servidor de Exchange envíe notificaciones de EWS y evitará que las aplicaciones cliente que dependen de las notificaciones de EWS funcionen con normalidad".

Puede leer más sobre la tecnología de limitación de red de Microsoft y cómo aplicar las políticas relevantes aquí . Todas estas actualizaciones del navegador abordan escenarios de seguridad complejos y difíciles de explotar que requieren la interacción del usuario para comprometer el sistema de destino. Dado que estas vulnerabilidades no se han informado como explotadas o reveladas públicamente, le recomendamos que agregue estos parches del navegador a su programa de implementación de parches estándar.

Windows 10
Microsoft ha publicado 12 actualizaciones críticas y 54 parches calificados como importantes para este ciclo de actualización. Estas actualizaciones de Windows de noviembre cubren las siguientes áreas:

Windows Defender ( CVE-2020-17090 );
Kernel de Windows ( CVE-2020-17087 , CVE-2020-17035 );
NDIS de Windows ( CVE-2020-17088 );
Pila de actualizaciones de Windows ( CVE-2020-17070 - CVE-2020-17088 );
Billetera de Windows ( CVE-2020-16999 , CVE-2020-17037 );
Componente de gráficos de Microsoft;
Controlador del sistema de archivos de registro común ( CVE-2020-17088 );
Biblioteca de códecs de Microsoft Windows.
Todas las actualizaciones críticas se relacionan con la resolución de problemas de códec y cámaras de Microsoft. Aunque estas vulnerabilidades informadas requieren acceso local, es posible un control total y la ejecución de código arbitrario en un sistema comprometido. Estos ataques (centrados en códec) son relativamente sencillos de explotar y podrían conducir a un escenario de ejecución remota de código (RCE) con control total del sistema objetivo. Históricamente, los mayores problemas con las actualizaciones de la pila de Windows GDI (gráficos) se debían a prácticas deficientes de empaquetado de aplicaciones; Los proveedores y / o integradores de sistemas incluyeron bibliotecas de sistemas centrales (DLL) dentro de sus paquetes, lo que hace que las actualizaciones como las actualizaciones de GDI y Kernel de Windows de este mes sean realmente problemáticas. Afortunadamente, esta práctica se ha reducido debido a mejores MSI de proveedores y mejores prácticas de empaque. Antes de implementar esta actualización,

Agregue esta actualización a su programa de actualización de escritorio estándar.

Microsoft Office
Este mes, Microsoft distribuyó 22 actualizaciones a la plataforma Microsoft Office (incluidos Exchange Server y Microsoft Dynamics) que cubren las siguientes aplicaciones o agrupaciones de funciones:

Equipos de Microsoft ( CVE-2020-17091 );
Microsoft Office SharePoint (CVE-2020-17015 - CVE-2020-17017 );
Código común / compartido de Microsoft ( CVE-2020-17062  -  CVE-2020-17067 ).
Microsoft calificó 21 de estas actualizaciones como importantes y la última (SharePoint) recibió una calificación baja. Creo que la razón por la que Microsoft califica estas vulnerabilidades parcheadas es porque se requiere acceso local para comprometer la plataforma de destino o el vector de ataque (método de acceso) es muy complejo. Estas son vulnerabilidades difíciles de explotar que requieren la interacción del usuario. Estos parches afectan a Word, Excel y Access, por lo que se recomienda probar aplicaciones desarrolladas internamente, especialmente aquellas con macros o JScript. No hay prisa; agregue estas actualizaciones de Office a su implementación estándar.

Plataformas de desarrollo de Microsoft
Microsoft ha lanzado tres actualizaciones para Visual Studio, todas calificadas como importantes. Todas estas vulnerabilidades requieren acceso local al sistema de destino y son relativamente difíciles de explotar. Además de las actualizaciones de Visual Studio, Microsoft lanzó 15 parches para la línea Azure Sphere. La agrupación funcional para la actualización de la plataforma de desarrollo de Microsoft de este mes se ve así:

Azure DevOps ( CVE-2020-1325 )
Visual Studio ( CVE-2020-17100 , CVE-2020-17104 )
Esfera azul ( CVE-2020-16981 - CVE-2020-16994
La oferta de seguridad de Azure Sphere es bastante nueva y probablemente no será un componente importante de las implementaciones empresariales. Puede leer más sobre Azure Sphere . Por lo tanto, concentrándose en las actualizaciones de Visual Studio, le recomendamos que agregue las actualizaciones de este mes a su programa de lanzamiento estándar de "Desarrollo".

Adobe Flash Player
Microsoft no ha lanzado ninguna actualización (o eliminación de bits) para ninguno de los productos de Adobe (Flash es el primero en venir a la mente) este mes. Dicho esto, ahora he visto la eliminación de Flash (a través de la desinstalación automática disponible a través de la actualización). No pasó nada malo. Eso es lo que debe esperar, una vez que elimine Flash de su sistema. Suspiro.

Si llegaste tan lejos...
Puede que le interese la perspectiva de gestión de parches que estamos empleando actualmente. Microsoft ha actualizado su documentación de lanzamiento de parches con una gran cantidad de datos nuevos, todos publicados en línea y accesibles a través de API. Hemos comenzado a usar estos nuevos datos para crear nuestras secciones de prueba de "puntos de acceso" que detallan qué parches afectarán qué función o componente de Windows o del producto de Microsoft previsto.

Trabajando con Microsoft en su proceso de parcheo, hemos visto cuán seriamente Microsoft se toma estas actualizaciones correctamente (Oye, son solo mil millones de usuarios, ¿verdad?). Nuestro enfoque ha sido y seguirá estando en "¿Qué sucede con las aplicaciones?" El próximo mes, verá datos adicionales sobre los impactos a nivel de función de cada actualización y algunos detalles granulares sobre nuestras experiencias con cada grupo de actualización. Puede leer más sobre el nuevo formato de documentación en esta publicación del blog de Microsoft .

Publicar un comentario

0 Comentarios