Header Ads Widget

Ticker

6/recent/ticker-posts

Una actualización problemática de los parches críticos del navegador para el martes de parches de octubre

Este martes de parches de octubre es un lanzamiento de parche importante pero problemático de Microsoft. Nuestro consejo es que espere, pruebe y organice sus implementaciones de parches.


Todo iba tan bien. Tuvimos algunos meses de actualizaciones que abordaron rápida y fácilmente los problemas de seguridad sin muchos problemas. Este martes de parches de octubre es un lanzamiento de parche importante pero problemático de Microsoft. Tenemos una actualización crítica del navegador fuera de banda ( CVE-2019-1367 ) de la que se ha informado ampliamente que causa una serie de problemas de implementación. Nuestro consejo este mes es que espere, pruebe y organice sus implementaciones de parches. La única buena noticia aquí es que no todos nos apresuramos a tratar de apagar otro problema de Adobe de "gritos de fuego". Hemos resumido los problemas clave de este mes en una infografía para este martes de parches de octubre, que se encuentra aquí .

Problemas conocidos
Esta sección trata los problemas conocidos del ciclo de parches del mes anterior, así como los problemas pendientes que pueden persistir con las versiones anteriores de las plataformas de escritorio y servidor de Windows.

La actualización del mes pasado pareció estar libre de problemas en general, pero parece que algunos problemas reportados fueron suficientes para que Microsoft respondiera con una actualización de parches anteriores para resolver los siguientes problemas:

El subsistema de bloqueo del teclado que puede no filtrar la entrada de teclas correctamente.
Un problema que impide que netdom.exe muestre el nuevo bit de delegación de ticket de concesión de tickets (TGT) para el modo de visualización o consulta.
El boletín de seguridad CVE-2019-1318 que puede hacer que los equipos cliente o servidor que no admiten el secreto maestro extendido (EMS) RFC 7627 tengan una mayor latencia de conexión y utilización de CPU. Este problema se produce al realizar un protocolo de enlace de Seguridad de la capa de transporte (TLS) completo desde dispositivos que no son compatibles con EMS, especialmente en servidores.
Es posible que las aplicaciones y los controladores de impresora que utilizan el motor JavaScript de Windows (jscript.dll) para procesar trabajos de impresión no se comporten como se esperaba.
Y, si tiene versiones de Windows 10 anteriores a la versión 1803, es posible que también tenga el siguiente problema con la actualización de octubre de este mes:

Ciertas operaciones, como el cambio de nombre , que realiza en archivos o carpetas que se encuentran en un Volumen compartido de clúster (CSV) pueden fallar con el error "STATUS_BAD_IMPERSONATION_LEVEL (0xC00000A5)". Esto ocurre cuando realiza una operación en un nodo propietario de CSV desde un proceso que no tiene privilegios de administrador.
Microsoft ha publicado una guía práctica para todos los problemas conocidos de esta versión de parche aquí: Información de implementación de la actualización de seguridad . En otro brillante respaldo al éxito de Windows 10, Versión 1903, actualmente no hay problemas conocidos (reportados) con ninguna de las actualizaciones actuales. Todas las versiones anteriores de Windows tienen problemas con las actualizaciones de Internet Explorer (IE) y Microsoft Edge.

Revisiones importantes
Las siguientes actualizaciones se realizaron a los parches existentes durante el mes pasado (ciclo de parches):

CVE-2019-1192 | Vulnerabilidad de omisión de la característica de seguridad de los navegadores de Microsoft. Esta actualización es un intento de Microsoft de abordar de manera integral CVE-2019-1192. Microsoft ha publicado actualizaciones de seguridad de octubre de 2019 para Microsoft Edge instaladas en ediciones compatibles de Windows 10; para Internet Explorer 11 instalado en todas las versiones afectadas de Windows 10. Esta es una actualización del ciclo de actualización del martes de parches de agosto. La calificación de Microsoft sigue siendo igual de importante.
CVE-2019-1367 | Vulnerabilidad de corrupción de memoria del motor de secuencias de comandos. Las actualizaciones de seguridad de octubre que Microsoft lanzará el 8 de octubre de 2019 abordan un problema de impresión conocido que el cliente podría haber experimentado después de instalar cualquiera de las actualizaciones de seguridad, actualizaciones acumulativas de IE o paquetes acumulativos mensuales que se publicaron el 23 de septiembre o el 3 de octubre. una actualización crítica.
Cada mes, dividimos el ciclo de actualización en familias de productos (según la definición de Microsoft) con las siguientes agrupaciones básicas:

  • Navegadores (Microsoft IE y Edge)
  • Microsoft Windows (tanto de escritorio como de servidor)
  • Microsoft Office (incluidas aplicaciones web y Exchange)
  • Plataformas de desarrollo de Microsoft ( NET Core, .NET Core y Chakra Core)
  • Adobe Flash Player
Navegadores
Microsoft ha lanzado diez actualizaciones para ambos navegadores este mes, con cinco calificadas como críticas por Microsoft que afectan al motor Chakra, JavaScript y VBScript. Si solo tuviéramos que discutir estos parches, entonces tendríamos un trabajo fácil este mes, con un programa estándar para lanzar parches del navegador. Sin embargo, Microsoft lanzó un parche fuera de banda (OOB) para IE en un intento de resolver una vulnerabilidad reportada en el motor de script de IE ( CVE-2019-1367 ). Es un problema de día cero adecuado, con amplios informes de explotación que solo requieren una visita a una página web especialmente diseñada. Es malo.

Este parche está causando problemas. Hemos visto informes de impresoras que no funcionan (las de Kyocera en particular), situaciones de aplicación de línea de negocio (LOB) difíciles de solucionar y problemas con scripts JavaScript (que hacen referencia a JSCRIPT.DLL). Esta actualización de OOB nos tomó a todos por sorpresa y creo que en este momento Microsoft podría haber proporcionado más documentación por adelantado. Después de trabajar con nuestro equipo, no tenemos un siguiente paso prescriptivo simple para esta actualización. Esto no sucede con tanta frecuencia. Creo que cada organización debe evaluar los riesgos de no implementar esta actualización con riesgos para las aplicaciones principales y posibles (y probables) problemas de impresión. Nuestro consejo: pruebe sus aplicaciones principales, pruebe todas sus impresoras y luego realice un despliegue medido por departamentos.

Ventanas
Microsoft ha lanzado 38 parches para la plataforma Windows este mes, dos de ellos calificados como críticos ( CVE-2019-1060 , CVE-2019-1333 ) y un aviso de pila de servicio crítico ( ADV990001 ). Nuevamente, estamos viendo actualizaciones de componentes familiares de Windows: Microsoft JET Engine, RDP, HTTP, APPX, GDI y XML Core Services. Este mes, las actualizaciones de la pila de servicios incluyen correcciones para resolver:

un problema con la experiencia de actualización de la lista de revocación de arranque seguro (DBX) para evitar reinicios múltiples cuando implementa la actualización de DBX en un dispositivo donde el servicio Credential Guard no se está ejecutando.
un problema en el que la lista de revocación de arranque seguro (DBX) no se aplica cuando la actualización de la lista de permisos de arranque seguro (DB) está vacía.
Con problemas reportados con Cortana , problemas de impresión, escenarios difíciles de resolución de problemas de Jscript o problemas con el reinicio, esta gran actualización compleja requerirá pruebas exhaustivas. Sugerimos que la mayoría de las organizaciones ESPEREN unos días más, averigüen dónde están los puntos problemáticos y luego realicen pruebas exhaustivas antes de una implementación general.

Microsoft Office
La actualización de este mes trae varias actualizaciones a Microsoft SharePoint Server con seis actualizaciones calificadas como importantes para las aplicaciones de Microsoft Office. Las vulnerabilidades más graves se relacionan con un escenario de ejecución remota de código en Microsoft Excel 2016. Tanto CVE-2019-1327 como CVE-2019-1331 se incluyen en una única actualización que se puede encontrar aquí . Como advertencia, las actualizaciones del servidor de SharePoint (que abordan un problema de XSS) no se pueden desinstalar. Haga una copia de seguridad de su servidor antes de esta actualización. Agregue estas actualizaciones (plataformas de escritorio y de servidor) a su programa de lanzamiento de actualizaciones estándar y programado

Herramientas de desarrollo
Con este ciclo de actualización, todavía estamos viendo actualizaciones del motor Chakra, pero pocos parches para las plataformas de desarrollo centrales como .NET. Para octubre, Microsoft lanzó una actualización crítica para su Azure App Service (desinfecte sus entradas) y dos actualizaciones importantes ( CVE-2019-1313 , CVE-2019-1376 ) para SQL Server Management Studio (SSMS). Recuerdo una época en la que el SSMS era una interfaz de gestión importante y se actualizaba de forma rutinaria. Recibe mucha menos atención ahora, y creo que se debe al movimiento general hacia la nube para muchas bases de datos corporativas. Agregue la actualización de SSMS a su ciclo de actualización programado. No tiene otra opción con la plataforma Azure. Microsoft se encargará de todos estos cambios necesarios.

Además de las actualizaciones periódicas relacionadas con la seguridad del martes de parches, el marco de Microsoft .NET recibe actualizaciones de mantenimiento periódicas. Para este mes de octubre, Microsoft no ha publicado ninguna actualización de seguridad para la plataforma .NET, pero se han publicado correcciones de errores para .NET que incluyen:

  • Windows 10 1903 y Windows Server, versión 1903 ( 4524100 )
  • .NET Framework 3.5, 4.8 ( 4515871 )
  • Windows 10 1809 (actualización de octubre de 2018) Windows Server 2019 ( 4524099 )
  • .NET Framework 3.5, 4.7.2 ( 4515855 )
  • .NET Framework 3.5, 4.8 ( 4515843 )
Creo que esta es la primera vez que tenemos una actualización de Microsoft para un proyecto de código abierto con un parche para el proyecto Open Enclave para abordar un problema de divulgación de información ( CVE-2019-1369 ). Si desea leer más sobre esto, puede consultar la publicación de Mark Russinovich sobre el consorcio de computación confidencial . Todos estos cambios requerirán pruebas exhaustivas, por lo que agregue estos parches a su programa de lanzamiento de desarrollo estándar.

Adobe
Adobe no ha lanzado ninguna actualización para Windows este mes. Esta es una buena noticia y han pasado unos meses desde que vimos actualizaciones para Flash o Reader. Si esta es una tendencia, es muy bienvenida. Como no tiene que actualizar Adobe este mes, le sugerimos que tenga una margarita.


Publicar un comentario

0 Comentarios