Header Ads Widget

Ticker

6/recent/ticker-posts

Una gran actualización de Windows para parches

Microsoft lanzó 129 actualizaciones para su ecosistema de Windows este mes. La buena noticia: no estamos lidiando con vulnerabilidades de días cero o de las que se informa públicamente.


Microsoft ha lanzado 129 actualizaciones para su ecosistema de Windows, pero la buena noticia de este mes es que no estamos respondiendo a las vulnerabilidades de días cero o de las que se informa públicamente. Microsoft parece estar tomando en serio la eliminación de Adobe Flash Player (algo bueno) y vemos una actualización muy amplia para los escritorios y servidores de Windows. Inusualmente, los navegadores de Microsoft no son un gran foco de atención este mes, y tanto Microsoft Office (excluyendo SharePoint) como la plataforma de desarrollo han recibido solo unos pocos parches de perfil más bajo.

Hemos incluido una infografía útil , que este mes parece un poco torcida ya que toda la atención debería estar en los componentes de Windows.

Escenarios de prueba clave
Esta sección refleja algunos de nuestros análisis de "actualización de puntos calientes" que cubre las plataformas de escritorio y servidor en múltiples versiones de Windows. Cada cartera de aplicaciones es única y representa un perfil de prueba distinto. Para este ciclo de actualización de septiembre, hemos identificado las siguientes áreas donde se justifiquen más pruebas para su entorno.

CVE-2020-0997 , CVE-2020-1129 , CVE-2020-1285 : sugerimos probar los archivos WMA para esta actualización.
CVE-2020-1532 : asegúrese de que el proceso de reparación de la aplicación (relacionado con la instalación) funcione como se espera debido a las actualizaciones de Windows Installer y Windows Store.
CVE-2020-1596 : asegúrese de que sus conexiones SChannel TLS funcionen como se espera, especialmente en escenarios de conexión remota (VPN).
Dada la actualización de Windows Defender ( CVE-2020-0951 ), le sugerimos que se asegure de que su solución antivirus (que no sea de Microsoft) siga funcionando como se esperaba. Si tuviera que sugerir un escenario de prueba para este mes, incluiría una aplicación (descargada de la Tienda Windows) que intenta imprimir directamente desde un dispositivo gráfico externo (cámara) a través de una conexión remota / VPN.

Intentamos esto, y todavía estamos por aquí.

Problemas conocidos
Cada mes, Microsoft incluye una lista de problemas conocidos relacionados con el sistema operativo y las plataformas que se incluyen en este ciclo de actualización. He hecho referencia a algunos problemas clave relacionados con las últimas versiones de Microsoft, que incluyen:

Es posible que tenga problemas ("0x800f0982 - PSFX_E_MATCHING_COMPONENT_NOT_FOUND.") Con los caracteres chinos / japoneses con el Editor de métodos de entrada (IME) de Microsoft este mes. Puede obtener más información aquí .
Después de instalar KB4467684 , es posible que el servicio de clúster no se inicie con el error "2245 (NERR_PasswordTooShort)" si la política de grupo "Longitud mínima de contraseña" está configurada con más de 14 caracteres. Microsoft está trabajando en este problema.
También puede encontrar el resumen de problemas conocidos de Microsoft para esta versión en una sola página.


Revisiones importantes
Este mes, tenemos una única revisión importante por motivos de documentación que se publicó en julio pasado:

CVE-2020-1162 : esta es una actualización informativa para incluir cobertura para Server 2019. No se requieren más acciones.
Mitigaciones y soluciones
Para esta versión de septiembre, Microsoft publicó una pequeña cantidad de posibles soluciones y estrategias de mitigación que se aplican a las vulnerabilidades (CVE) abordadas este mes, que incluyen:

CVE-2020-16873 : en lugar de aplicar un parche, pruebe el siguiente fragmento de código de mitigación:
CustomWebView de clase pública: WebViewRenderer {anulación protegida Android.Webkit.WebView CreateNativeControl () {var webView = base.CreateNativeControl (); webView.Settings.SetSupportMultipleWindows (verdadero); return webView; }}

CVE-2020-1596 : La industria ha dejado de usar TLS_DHE en su mayoría. Microsoft aconseja a los clientes que deshabiliten TLS_DHE. En lugar de parchear, puede que sea hora de dejar de usar esta función.
Cada mes, dividimos el ciclo de actualización en familias de productos (según la definición de Microsoft) con las siguientes agrupaciones básicas:

Navegadores (Microsoft IE y Edge);
Microsoft Windows (tanto de escritorio como de servidor);
Microsoft Office (incluidas las aplicaciones web y Exchange);
Plataformas de desarrollo de Microsoft ( ASP.NET Core, .NET Core y Chakra Core)
Adobe Flash Player.
Navegadores
Este mes, Microsoft lanzó siete actualizaciones para sus navegadores (tres calificados como críticos, los cuatro restantes calificados como importantes). Estas actualizaciones, en el peor de los casos, podrían conducir a escenarios de ejecución remota de código (RCE), pero todas se consideran relativamente difíciles de explotar en un entorno empresarial bien administrado.

Aparte de los problemas habituales de limpieza / higiene de la memoria de Internet Explorer (IE) abordados por CVE-2020-0878 , creo que el parche para observar este mes es  CVE-2020-1012 . Esta actualización para los navegadores de Microsoft y la plataforma Windows 10 puede presentar un perfil de prueba complicado debido a los cambios en la biblioteca principal del navegador (WinInet.DLL) Es posible que se requieran más pruebas debido a otras actualizaciones de VPN incluidas en la actualización de escritorio de Windows de este mes. . 

Para aquellos usuarios que han instalado el nuevo Edge basado en Chromium de Microsoft , la actualización de Browser Helper Object ( BHO ) CVE-2020-16884 puede llamar la atención , ya que funciona como un puente entre los sistemas IE heredados y el nuevo Edge. Los BHO (también llamados Objetos de secuestro del navegador) siempre fueron una preocupación debido a la forma en que tenían acceso sin restricciones al modelo de memoria y eventos internos del Explorador. Desea reducir su exposición a estos objetos y esperamos que los BHO sigan el camino de los controles ActiveX: una muerte lenta y dolorosa.

Agregue estas actualizaciones del navegador a su programa de lanzamiento de parches estándar.

Microsoft Windows
Con nueve actualizaciones críticas, y 68 calificadas como importantes, esta no es una gran actualización para septiembre, sino más bien amplia. Es la cobertura de áreas modificadas o parcheadas lo que debería ser el foco. Algunas de las áreas básicas que se han actualizado en esta versión de septiembre para Windows incluyen:

Instalador de ventanas;
Códecs de Windows Media (con especial atención a las bibliotecas de cámaras;
Active Directory, el sistema de archivos y las copias de seguridad;
Impresión y escritorios remotos (VPN) y Windows Store;
Y, por supuesto, los subsistemas del Kernel de Windows (Win32ky.sys).
Hemos mencionado en las secciones anteriores escenarios de prueba clave con un enfoque en la impresión, las conexiones VPN y el comportamiento de autorreparación de Windows Installer. Puede que sea el momento de hacer un balance de sus opciones de actualización de escritorio (potencialmente múltiples) y echar un vistazo a cómo está implementando sus aplicaciones: deben poder instalar, actualizar (repetidamente) y desinstalar, todo sin desencadenar comportamientos inesperados de Windows Store, Windows Update o Microsoft Office cambian a su plataforma.

¡Sencillo! Agregue esta actualización de Windows grande y bastante amplia a su programa de lanzamiento estándar.

Microsoft Office
Microsoft ha lanzado siete actualizaciones con calificación crítica para la plataforma Microsoft Office para septiembre, todas las cuales se relacionan con vulnerabilidades de ejecución remota de código en Microsoft SharePoint Server. Las 20 actualizaciones restantes se consideran importantes y en su mayoría tratan con problemas de seguridad XSS de SharePoint (nuevamente). Este mes, vemos algunas actualizaciones de Microsoft OneDrive ( CVE-2020-16851 y CVE-2020-16852 ) que abordan las vulnerabilidades en el actualizador de OneDrive.

Sí, parece que OneDrive tiene su propia tecnología y metodología de actualización, lo que debería ser una preocupación para la mayoría de los administradores empresariales. Teniendo en cuenta a dónde se dirige Microsoft con su proceso de actualización, espero que este proceso de actualización independiente y específico de la aplicación se retire pronto. Agregue estas actualizaciones de Microsoft Office a su programa de lanzamiento estándar. 

Plataformas de desarrollo de Microsoft
Visual Studio de Microsoft es el enfoque de este mes, con una única actualización crítica y otras cuatro actualizaciones calificadas como importantes para el conjunto de herramientas de desarrollo. Aparte de la actualización del conjunto de herramientas de diagnóstico ( CVE-2020-1133 ), las otras actualizaciones de este mes parecen estar enfocadas en Visual Studio y no en las plataformas subyacentes. Agregue estas actualizaciones a su cadencia de implementación estándar.

Adobe Flash Player
Es la mitad del final de (Adobe) Flash.

Microsoft ha incluido una actualización este mes que pondrá en marcha la infraestructura para garantizar que Flash no se instale en ninguna máquina que también incluya Microsoft Edge, a más tardar el 31 de diciembre de 2020 o enero de 2021. El grupo de Windows publicó una entrada de blog este mes sobre el tema "Eliminación de actualizaciones de Adobe Flash Player". Dice: "En el verano de 2021, todas las API, políticas de grupo e interfaces de usuario que gobiernan específicamente el comportamiento de Adobe Flash Player eliminarse de Microsoft Edge (heredado) e Internet Explorer 11. "

Entonces esto es serio ahora. Agregue esta (probable) actualización final de Adobe de Microsoft a su plan de actualización programado regularmente. 

Publicar un comentario

0 Comentarios