Header Ads Widget

Ticker

6/recent/ticker-posts

Solo unas pocas actualizaciones más lo convierten en un ligero martes de parches de diciembre

Hay una actualización urgente de Microsoft Internet Explorer 11 y tres actualizaciones críticas para la plataforma Windows que requerirán algo de atención este mes. Además, tenemos actualizaciones acumulativas para las plataformas de servidor .NET y SQL que requerirán algunas pruebas antes de la implementación general.


Diciembre trae paz y alegría, bueno, tal vez, pero al menos Microsoft nos ha proporcionado una actualización relativamente fácil del martes de parches. Hay una actualización urgente de Microsoft Internet Explorer 11 y tres actualizaciones críticas para la plataforma Windows que requerirán algo de atención este mes. Además, tenemos actualizaciones acumulativas para las plataformas de servidor .NET y SQL que requerirán algunas pruebas antes de la implementación general. Dicho esto, creo que 2020 traerá muchos martes de parches interesantes con los nuevos lanzamientos de funciones "por etapas" de Microsoft que ya incluyen Windows 10 1909. Puede encontrar más información aquí en nuestra infografía del blog Readiness .

Problemas conocidos
Cada mes, tratamos de resaltar algunos de los problemas más serios con las actualizaciones de este mes y anteriores de las plataformas de escritorio, servidor y desarrollo de Microsoft. He incluido algunos que probablemente afecten el ciclo de actualización de este mes, entre ellos: 

Office 2013 y Office 2016 : es posible que reciba el siguiente mensaje: "No se confía en esta aplicación para consumir contenido con derechos administrados. La firma Authenticode de la aplicación no es válida. Comuníquese con su administrador para investigar más a fondo". Para resolver este problema, instale la actualización de Office 3172523 .
Windows 10 1803 en adelante : al configurar un nuevo dispositivo Windows durante la experiencia inmediata (OOBE), es posible que no pueda crear un usuario local cuando utilice el Editor de métodos de entrada (IME). Este problema puede afectarle si utiliza el IME para los idiomas chino, japonés o coreano. Microsoft está trabajando en este. Los IME son “capas” de entrada de teclado muy complejas que residen en múltiples compilaciones y configuraciones que requieren habilidades lingüísticas enormemente dispares para depurar. Por mi experiencia con la instalación / configuración / ruptura de IME en Asia (a finales de los 90) sospecho que es posible que veamos este problema nuevamente.
En todas las versiones de servidores y escritorios de Windows , tenemos el siguiente problema en curso, "Ciertas operaciones, como el cambio de nombre, que realiza en archivos o carpetas que están en un Volumen compartido de clúster (CSV) pueden fallar con el error" STATUS_BAD_IMPERSONATION_LEVEL (0xC00000A5 ) ”.”
Microsoft tiene conocimiento de un problema en Windows Hello para empresas (WHfB) con claves públicas que persisten después de que se elimina un dispositivo de Active Directory, si existe AD. Después de que un usuario configura Windows Hello para empresas (WHfB), la clave pública WHfB se escribe en el Active Directory local. Las claves WHfB están vinculadas a un usuario y un dispositivo que se ha agregado a Azure AD y, si se quita el dispositivo, la clave WHfB correspondiente se considera huérfana.
Y gracias a Woody Leonard ( Pregúntale a Woody ), por retomar la oferta de Autopilot. Al igual que en octubre , parece que el parche Autopilot se ofrece una vez más a todas las máquinas Pro, ya sea que tengan Autopilot o no.

Revisiones importantes
Este mes no se han publicado revisiones importantes de Microsoft.

Cada mes, dividimos el ciclo de actualización en familias de productos (según la definición de Microsoft) con las siguientes agrupaciones básicas:

  • Navegadores (Microsoft IE y Edge)
  • Microsoft Windows (tanto de escritorio como de servidor)
  • Microsoft Office (incluidas aplicaciones web y Exchange)
  • Plataformas de desarrollo de Microsoft ( NET Core, .NET Core y Chakra Core)
  • Adobe Flash Player
Navegadores
Ahora tienes algo de qué hablar en la fiesta anual de Navidad. Para esta actualización de diciembre, hay (solo) una vulnerabilidad reportada para todos los navegadores de Microsoft. Si bien esta es una mejora absolutamente enorme con respecto a las a veces "decenas" de vulnerabilidades de corrupción de memoria urgentes "Patch Now", este éxito se ve algo atenuado por el hecho de que todavía estamos solucionando problemas de VBScript ( CVE-2019-1485 ) en 2019. Entonces, Microsoft ha lanzado una única actualización crítica para Internet Explorer 11 que realmente requiere atención urgente debido a su vínculo con ActiveX y su potencial explotación. Agregue esta actualización a su programa "Parchear ahora", si todavía está usando IE11.

Ventanas
Microsoft ha abordado un total de 21 vulnerabilidades en la plataforma Windows para este martes de parches de diciembre, tres de ellas calificadas como críticas ( CVE-2019-1471 , CVE-2019-1468 y ADV990001 ) y las 18 restantes calificadas como importantes. Las vulnerabilidades con calificación crítica podrían conducir a escenarios de ejecución remota de código con múltiples vectores para que los malos actores ataquen la plataforma comprometida. Además de estos problemas de seguridad, hay varias características nuevas "incluidas" pero no lanzadas con Windows 10 1909. Microsoft ofreció la siguiente explicación:

"Las versiones 1903 y 1909 de Windows 10 comparten un sistema operativo central común y un conjunto idéntico de archivos de sistema. Como resultado, las nuevas funciones de Windows 10, versión 1909 se incluyeron en la reciente actualización mensual de calidad para Windows 10, versión 1903 ( lanzado el 8 de octubre de 2019), pero actualmente se encuentran en un estado inactivo. Estas nuevas funciones permanecerán inactivas hasta que se activen mediante un paquete de habilitación, que es un pequeño "interruptor maestro" de instalación rápida que simplemente activa Windows 10, características de la versión 1909 ".

Esto es algo revolucionario, quizás un poco de miedo. Microsoft básicamente está diciendo, "hemos cambiado algunas cosas, agregamos algunas cosas y se lo informaremos más adelante". Realmente me gustaría una lista definitiva de nuevas características, el impacto y las dependencias y un plan de cuándo se implementarán estos cambios. Lo que creo que la mayoría de los ingenieros de implementación considerarían razonable. Dados los problemas habituales de personal en la temporada navideña y la falta de claridad en torno a estos cambios, sugiero que se recomiende realizar algunas pruebas (y esperar) antes de una implementación general de estas actualizaciones de Windows.

Microsoft Office
Diciembre no ha sido tan amable con la suite de Microsoft Office, con seis vulnerabilidades reportadas, todas calificadas como importantes por Microsoft. Microsoft no publica la clasificación de riesgo ni el Sistema de puntuación de vulnerabilidad común ( CVSS ) para las actualizaciones individuales de Microsoft Office, pero este grupo de parches tiene una clasificación muy alta de 9,8. Si está utilizando Office 365, es posible que haya experimentado problemas con las descargas de parches. El problema afecta a los canales 1808 a 1911 y se puede encontrar más información aquí. Existe un escenario de ejecución remota de código para Microsoft PowerPoint ( CVE-2019-1462 ) que puede necesitar atención urgente, pero las otras actualizaciones deben incluirse en su programa de lanzamiento de actualizaciones estándar. 

Herramientas de desarrollo de Microsoft
La aplicación de desarrollo Git de Microsoft es la principal víctima / delincuente de este mes con cinco vulnerabilidades graves ( CVE-2019-1349 , CVE-2019-1350 , CVE-2019-1352 , CVE-2019-1354 , CVE-2019-1387 ) y una y una actualización importante. No hemos visto ninguna otra actualización de la plataforma de Visual Studio o, lo que es más importante, de Azure para este mes. Todas las versiones de la plataforma de desarrollo Microsoft .Net recibirán un paquete de actualización acumulativa ( KB4533002) con la nota especial de Microsoft que indica que "Esta actualización se incluye en el paquete acumulativo de calidad con fecha del 10 de diciembre de 2019. Partes de esta actualización se publicaron anteriormente en el paquete acumulativo de calidad con fecha del 10 de septiembre de 2019". No estoy seguro de qué hacer con esta información. Suspiro. Agrega esta actualización a tu programa de lanzamiento estándar.

Microsoft SQL Server recibe una mención especial este mes con dos actualizaciones acumulativas publicadas ( CU 18 KB 4527377 y CU 11 KB 4527378) . Como Microsoft emplea el modelo " puramente acumulativo " para todas las revisiones y versiones de SQL Server, todas las revisiones publicadas anteriormente (incluidas las revisiones críticas bajo demanda) se incluyen y se prueban "más a fondo". Puede leer más sobre las estrategias y modelos de parches de Microsoft SQL Server aquí y aquí respectivamente. A menos que tenga una dependencia crítica de la aplicación GIT, agregue la actualización de este mes a su programa de lanzamiento estándar. 

Adobe
Adobe ha abordado 17 actualizaciones de seguridad críticas que no están incluidas en el martes de parches de Microsoft de este mes, ya que todos estos problemas se relacionan con problemas de nivel de producto (Adobe Reader y Acrobat) en lugar de componentes de escritorio y servidor ampliamente utilizados (es decir, Flash). Las aplicaciones afectadas incluyen Acrobat Reader, Photoshop, Illustrator y Brackets. En Adobe Acrobat y Reader , Adobe corrigió 14 fallas críticas de ejecución de código arbitrario, incluidas fallas de escritura fuera de los límites, fallas libres de uso posterior, vulnerabilidades de desreferencia de punteros no confiables, errores de desbordamiento de pila, errores de búfer y una omisión de seguridad. Puede encontrar más APSB19-55 Este es un gran mes para los problemas de seguridad de Adobe, pero no es un gran problema para los ingenieros de implementación de escritorio. Para diciembre, debo agregar, definitivamente no es "Tiempo de margarita"... pero no tiene que implementar ninguna actualización urgente de escritorio o servidor, cortesía de Adobe.

Quería pasar unos momentos agradeciendo a todos por sus comentarios y su atención durante el año pasado. Me encanta escribir sobre estas cosas y espero haber ayudado a algunas personas y quizás haberle ahorrado un poco de tiempo cada mes. Gracias, y espero más actualizaciones, más parches y mucho más en 2020.


Publicar un comentario

0 Comentarios