Header Ads Widget

Ticker

6/recent/ticker-posts

99 agujeros, corrección de IE 'explotada', caos de Win7 y fantasma de UEFI

Las correcciones del martes de parches de febrero de 2020 de Microsoft ya no están disponibles, y el resultado es un desastre enorme y desordenado. Con 164 parches que tapan 99 agujeros de seguridad identificados por separado, llamadas de claxon para arreglar un agujero de JScript de IE "explotado", un fabricante de software UEFI no identificado en la mira y una implementación de Win7 que haría que PT Barnum palideciera, es mejor estar al margen .


Qué mes ha sido, y los parches de Patch Tuesday solo han estado disponibles durante 24 horas. Hay muchas debilidades de parcheo de febrero que informar.

Todas las versiones de Windows 10, que se remontan al principio de los tiempos (excepto la versión 1511, descuidada durante mucho tiempo) recibieron parches este mes.

Bienvenido a los parches de Win7 nuevos, mejorados y de pago
No hubo una actualización gratuita de Windows 7 este mes, a pesar de que Microsoft lanzó una Vista previa del paquete acumulativo mensual en enero. Cualquiera que esté preocupado por el bien documentado error de fondo de pantalla negro "Stretch" causado por el paquete acumulativo mensual de Win7 del mes pasado aparentemente puede golpear la arena, o descargar e instalar manualmente la solución . Tu elección.

Parece que Microsoft ha reparado la parte del parche manual KB 4539602 que eliminaba los archivos de arranque, aunque la explicación oficial  (habilitación SHA-2) todavía no tiene sentido para mí. 

Aquellos de ustedes que pagaron por las actualizaciones de seguridad extendidas de Win7 tienen estos parches en oferta (Thx, RDRguy .):

  • Paquete acumulativo mensual de actualizaciones de calidad y seguridad de febrero de 2020 para Windows 7 (KB4537820)
  • Actualización de calidad de solo seguridad de febrero de 2020 para Windows 7 (KB4537813)
  • Actualización de seguridad acumulativa de febrero de 2020 para Internet Explorer 11 para Windows 7 (KB4537767) 
Dos problemas. Primero, solo verá esas actualizaciones si primero instala el parche que Microsoft lanzó ayer :

  • Paquete de preparación de licencias de actualizaciones de seguridad extendidas (ESU) de febrero de 2020 para Windows 7 (KB4538483)
  • En segundo lugar, no podrá verlos hasta que instale la Actualización de la pila de servicio de enero, KB 4536952 . Muchas personas informan que nunca se les ofreció la SSU de enero; recuerde que debe eliminar por completo la acumulación de parches antes de que Windows Update le muestre una SSU. Alternativamente, puede descargarlo e instalarlo manualmente. ¿Suena familiar?

Una vez que tenga instalada la Actualización de la pila de servicios de enero y aparezcan los próximos parches de pago, también debería obtener

Actualización de la pila de servicio de febrero de 2020 para Windows 7 (KB4537829)
Por supuesto, no hemos tenido tiempo suficiente para probar ninguno de los parches, por lo que es mejor esperar. ¿Quién sabe? Tal vez Microsoft tenga otro parche sorpresa previo al parche esperando.

Por cierto..., parece que Microsoft ha retrocedido en otra parte de su traqueteo de sables de fin de vida de Windows 7: Veo muchos informes de que las máquinas Win7 están obteniendo la última herramienta de eliminación de software malintencionado, a pesar de que las actualizaciones de MSRT fueron se supone que expira el mes pasado.

Otro error de IE 'explotado' grande, malo y horrible que cae del cielo
Escuchémoslo para el contingente de "mejor parche ahora o de lo contrario, bucko". Este mes, la blogósfera de parches está encendida con advertencias espantosas sobre el agujero de seguridad CVE-2020-0674 , otra “vulnerabilidad de corrupción de memoria del motor de scripting” de IE / JScript. 

Esta vez, se supone que todos debemos instalar los parches de enero AHORA MISMO porque este horrible agujero ya ha sido explotado. Si seguro. 



Hemos escuchado esa melodía antes, más recientemente el mes pasado cuando Chicken Littles (y la Agencia de Seguridad Nacional de EE. UU.) Dijeron que el cielo se estaba cayendo debido al horrendo agujero de seguridad Crypt32.dll, conocido como "Chain Of Fools" o "CurveBall". " Ese también fracasó, a pesar del bombo publicitario financiado por el gobierno. No conozco ningún ataque generalizado de CurveBall, al menos todavía no.

¿Crees que necesitas reparar CVE-2020-0674 de inmediato? Considerar. El nuevo agujero de seguridad "explotado" de IE / JScript es tan amenazante y ominoso que Microsoft mismo se contuvo al publicar la solución. Microsoft nos advirtió por primera vez sobre el agujero de seguridad el 17 de enero en el Aviso de seguridad ADV200001 , que incluía una solución manual (deshabilitar JScript). No lanzó una solución hasta ayer. Si Microsoft pudiera esperar unas semanas para lanzar el parche, supongo que puede esperar cómodamente unas semanas para instalar el parche.

Oh. Si siguió el consejo de ADV200001 y deshabilitó JScript manualmente, debe volver a habilitarlo manualmente antes de instalar el parche de este mes. El chiste es a costa tuya.

0 problemas de parche
Muchos de nosotros esperamos que la empresa de microparches 0patch pueda tapar los agujeros de seguridad en Win7, sin pagar (o molestar) las actualizaciones de soporte extendido de Microsoft. En el momento de escribir este artículo, 0patch ha publicado una solución para el error "explotado" de JScript de Internet Explorer, pero todavía no he oído hablar de una solución para todos los demás parches relacionados con ESU.

Sin embargo, hay un problema en el paraíso. En algunos casos, Firefox puede fallar al iniciarse si tiene 0patch instalado; hay un conflicto entre Firefox 73 y el agente 0patch. Mitja Kolsek tiene una solución alternativa publicada en el blog de 0patch.

El misterio UEFI de KB 4524244
Microsoft parece tener un fabricante UEFI específico en sus sitios. KB 4524244 , la "Actualización de seguridad para Windows 10, versión 1607, 1703, 1709, 1803, 1809 y 1903: 11 de febrero de 2020" se ofrece, independientemente de las Actualizaciones acumulativas habituales, en todas las versiones de Windows 10. 

Por cierto, si cree que la versión 1909 de Win10 fue inmune al malestar KB 4524244, piénselo de nuevo. Microsoft olvidó incluir 1909 en su lista maestra , pero KB 4524244 está incluido en la lista 1909 MS Update Catalog y en la lista WSUS . (Gracias, PKCano.) El artículo de KB, incluso su título, es claramente incorrecto.

Esto es lo extraño de ese parche, aparte del hecho de que no está incluido con las actualizaciones acumulativas. Microsoft apunta a un proveedor UEFI específico:

Soluciona un problema en el que un administrador de arranque de la Interfaz de firmware extensible unificada (UEFI) de terceros podría exponer las computadoras habilitadas para UEFI a una vulnerabilidad de seguridad.

No sé qué administrador de arranque UEFI ha sido seleccionado para este tratamiento extraordinario, pero si lo sabe, sin duda agradecería una pista en AskWoody.com.

El parche no está exento de peligros. De LordDeath86, en Reddit : “Después de instalar la actualización para 1909, obtuve una nueva actualización de seguridad pendiente KB 4524244 y siempre falla con el error 0x800f0922. Y nuevamente, Google y Bing me están fallando aquí porque ese código de error puede significar cualquier cosa, desde un software VPN defectuoso (no tengo ninguno) hasta una partición del sistema demasiado pequeña (tampoco es el caso aquí) hasta una constelación de estrellas defectuosa que envía rayos cósmicos a mi PC y dejar que la actualización falle ".

Publicar un comentario

0 Comentarios