Grandes y complejos Patch Tuesday para Windows, actualizaciones críticas para Adobe y Edge

0
36

Este mes, Microsoft ofrece una serie grande y compleja de actualizaciones para Windows, Azure y Edge. Con 88 vulnerabilidades solucionadas y cuatro publicadas, vemos las recomendaciones "Parche ahora" para ambos navegadores, Windows y Adobe. Creo que deberíamos prestar especial atención a las importantes actualizaciones de este mes para ADO y JET. Puede encontrar nuestras infografías de actualizaciones mensuales aquí. . Y, creo que hice un trabajo razonable al describir los diferentes enfoques para parchear en nuestro último video de Preparación "Parches a Full Throttle".

Problemas conocidos

Cada mes, proporcionamos algunos detalles sobre los problemas conocidos actualmente (y generalmente no mitigados) con las últimas versiones de servidor y Windows 10 (1803 y 1809):

  • KB4503293: Windows Sandbox puede no comenzar con "ERROR_FILE_NOT_FOUND (0x80070002)". Microsoft aún está trabajando en este problema.
  • KB4503327: Al intentar imprimir desde Microsoft Edge u otras aplicaciones de la Plataforma Universal de Windows (UWP), puede recibir el error "Su impresora ha experimentado un problema de configuración inesperado. 0x80070007e". Y, ciertas operaciones, como el cambio de nombre, que realiza en los archivos o carpetas que están en un Volumen Compartido del Clúster (CSV) puede fallar el error "STATUS_BAD_IMPERSONATION_LEVEL (0xC00000A5)". Esto ocurre cuando realiza una operación en un nodo propietario de CSV desde un proceso que no tiene privilegios de administrador.
  • KB4503284: Ciertas operaciones, como el cambio de nombre, que realiza en archivos o carpetas que están en un Volumen Compartido del Clúster (CSV) pueden fallar con el error, "STATUS_BAD_IMPERSONATION_LEVEL (0xC00000A5)". Si este problema ocurre en el entorno de su servidor, Microsoft sugiere ejecutar el proceso con acceso de administrador.

Revisiones mayores

Este ciclo de parches trae una única revisión importante (pero de muy baja importancia) a una actualización anterior del componente GDI de Windows en Windows 7 y Windows Server 2008 R2, con CVE-2017-8533. Microsoft está lanzando las actualizaciones de seguridad 4503292 (resumen mensual) y 4503269 (solo seguridad). Esto no debería afectar a los sistemas actualizados más recientemente.

También desglosamos el ciclo de actualización en familias de productos (según lo define Microsoft) con las siguientes agrupaciones básicas.

  • Navegadores (Microsoft IE y Edge)
  • Microsoft Windows (tanto de escritorio como de servidor)
  • Microsoft Office (incluidas las aplicaciones web y el intercambio)
  • Microsoft NET Core, .NET Core y Chakra Core
  • Adobe Flash Player

Navegadores

Para este parche del martes, Microsoft ha intentado resolver 16 vulnerabilidades críticas, tres importantes y 16 moderadas en el navegador perimetral de Microsoft. Todas las vulnerabilidades se relacionan con la forma en que Edge maneja los problemas de memoria y el motor de secuencias de comandos de Chakra. Existe una gran coincidencia con las vulnerabilidades de Chakra de Edge y los problemas informados con las herramientas de desarrollo de Microsoft. Todas las vulnerabilidades críticas críticas podrían llevar a escenarios de ejecución remota más graves. Esta actualización debe tener una alta prioridad. Recomendamos un estado de "Parche ahora" para las actualizaciones del navegador de Microsoft de junio.

Windows

Como Microsoft ahora ha hecho de 1903 su plataforma de escritorio generalmente disponible, hemos comenzado a usar Windows 10 1903, de 64 bits como nuestra plataforma objetivo. Con este ciclo de actualización para el escritorio de Windows, vemos la mayoría de las vulnerabilidades informadas (cinco críticas, 57 importantes y una moderada) con las siguientes vulnerabilidades críticas:

Además de estas actualizaciones críticas, estamos viendo algunas "zonas activas de actualización" reales en la plataforma Windows con los siguientes componentes y sus correspondientes vulnerabilidades para este mes:

  • Microsoft ADO y Jet Engine: CVE-2019-0904, CVE-2019-0905, CVE-2019-0906, CVE-2019-0907, CVE-2019-0908, CVE-2019-0909, CVE-2019-0974
  • Microsoft Hyper-V: CVE-2019-0620, CVE-2019-0709, CVE-2019-0722
  • Servicio de audio de Microsoft: CVE-2019-1007, CVE-2019-1021, CVE-2019-1022, CVE-2019-1026, CVE-2019-1027, CVE-2019-1028
  • Windows GDI: CVE-2019-0968, CVE-2019-0977, CVE-2019-1009, CVE-2019-1010, CVE-2019-1011, CVE-2019-1012, CVE-2019-1013, CVE-2019-1015, CVE -2019-1016, CVE-2019-1046, CVE-2019-1047, CVE-2019-1048, CVE-2019-1049, CVE-2019-1050

Como un rito de paso, hemos visto nuestra primera actualización real de la tecnología de virtualización de Microsoft AppX con CVE-2019-1064 reportada como una vulnerabilidad crítica. Y, parece que la nueva característica principal en la versión de Windows 1903 (The Sandbox) tiene un problema menor con esta actualización con el artículo KB4503293 de Microsoft KB. Esta es una actualización grande y compleja que afecta a muchos de los componentes principales del sistema operativo. Si confía en JET / ADO, Hyper-V o en la línea de aplicaciones comerciales especializadas que se basan en servicios GDI centrales, esta actualización necesita pruebas de compatibilidad de aplicaciones. De lo contrario, agregue esta gran actualización de Windows a su esfuerzo de implementación estándar.

Microsoft Office

El mayor problema que afecta a las plataformas de Microsoft Office (escritorio y servidor) este mes es un problema de secuencias de comandos entre sitios (XSS) (CVE-2019-1036, CVE-2019-1031, CVE-2019-1032, CVE-2019-1033 ) que podría conducir a un ataque donde un mal actor podría ejecutar scripts en el contexto de un usuario. Estos problemas son más difíciles de explotar, y sin actualizaciones críticas este mes, le recomendamos que "programe" esta actualización como parte de su esfuerzo de implementación estándar.

Herramientas de desarrollo

Normalmente, las actualizaciones de los conjuntos de herramientas de Microsoft son una cosa "seria", con cambios planificados en las plataformas de desarrollo que podrían tardar meses en implementarse. Este mes es diferente con 9 actualizaciones críticas para el Chakra y motor de scripting en Microsoft Edge. Dado el progreso de Microsoft y su plataforma en la nube, es posible que veamos una sección separada para los parches y cambios de Azure el próximo mes. Para este ciclo de actualización, Microsoft ha publicado una solución para una vulnerabilidad de suplantación nominal moderada en el servidor de DevOps de Azure (CVE-2019-0996). Puedes leer más sobre Azure DevOps aquí. Estoy seguro de que escucharemos más sobre los parches y actualizaciones de Azure el próximo mes, pero no estoy seguro de cómo podemos probar y planificar estos cambios. Programe la actualización de los DevOps de Azure, pero agregue la actualización de Chakra a su programa de lanzamiento "Parche ahora".

Adobe

Adobe ha lanzado (todavía) otra actualización crítica para su venerable Flash Player. Como siempre, esta actualización es una actualización completa de la distribución de Flash y esta última actualización lleva a Flash a la versión 32.0.0.207. Si esto se está volviendo repetitivo, al menos tenemos alguna esperanza, ya que Adobe está desaprobando a Flash a fines de 2020. Como de costumbre, es tan serio como ridículamente fácil de explotar y si tiene Flash en sus sistemas (realmente no debería hacerlo) t) agregue esta actualización crítica a su esfuerzo de implementación "Parche ahora".

Este artículo se publica como parte de la red IDG Contributor. ¿Querer unirse?

LEAVE A REPLY

Please enter your comment!
Please enter your name here

This site uses Akismet to reduce spam. Learn how your comment data is processed.