Español 
English
Français
Deutsch
Italiano
Português
日本語
한국어
Русский
cuatro cero
Por Greg Lambert, colaborador de Computerworld |
Greg Lambert evalúa los riesgos para las aplicaciones y entornos existentes en el ciclo Patch Tuesday de cada mes.
Con la actualización del martes de parches de este mes, Microsoft abordó 130 vulnerabilidades de seguridad, publicó dos avisos e incluyó cuatro revisiones importantes de CVE. También tenemos cuatro días cero para administrar para Windows (CVE-2023-32046, CVE-2023-32049, CVE-2023-36874 y CVE-2023-36884), lo que coloca a la plataforma Windows en un cronograma de "parchear ahora".
Debería ser más fácil concentrarse en las pruebas de Microsoft Office y Windows este mes, ya que no tenemos actualizaciones de Adobe, Exchange o del navegador. Asegúrese de revisar detenidamente Storm 0978 de Microsoft, ya que proporciona orientación específica y práctica sobre cómo gestionar la grave vulnerabilidad HTML en Microsoft Office (CVE-2022-38023).
El equipo de Readiness ha elaborado esta útil infografía para describir los riesgos asociados con cada una de las actualizaciones.
Cada mes, Microsoft enumera problemas conocidos relacionados con el sistema operativo y las plataformas incluidas en el último ciclo de actualización.
Microsoft ha publicado dos revisiones importantes:
Microsoft publicó las siguientes mitigaciones relacionadas con vulnerabilidades para esta versión:
Cada mes, el equipo de preparación proporciona orientación de prueba detallada y práctica para las últimas actualizaciones. Esta guía se basa en la evaluación de una gran cartera de aplicaciones y un análisis detallado de los parches de Microsoft y su impacto potencial en las plataformas Windows y las instalaciones de aplicaciones.
Si ha empleado servidores web o de aplicaciones internos, valdrá la pena probar el protocolo HTTP3, especialmente con Microsoft Edge. Además de esta actualización de manejo de protocolo, Microsoft realizó una cantidad significativa de cambios y actualizaciones en la pila de redes que requieren las siguientes pruebas:
Dada la gran cantidad de cambios a nivel del sistema este mes, he dividido los escenarios de prueba en perfiles estándar y de alto riesgo.
Dado que esta actualización incluye correcciones para cuatro (algunos dicen cinco) fallas de día cero, tenemos dos principales impulsores de cambio este mes: cambios de funcionalidad clave en los sistemas centrales y una necesidad urgente de entregar actualizaciones. Microsoft ha documentado que se han actualizado dos áreas centrales con importantes cambios de funcionalidad, incluida la impresión y la pila de red local (con un enfoque en el enrutamiento). Como resultado, se deben incluir las siguientes pruebas antes de la implementación general:
Los siguientes cambios se incluyeron este mes y no se plantearon como de alto riesgo (con resultados inesperados) y no incluyen cambios funcionales.
Todos estos escenarios de prueba requerirán pruebas importantes a nivel de aplicación antes de una implementación general. Dados los cambios incluidos en los parches de este mes, el equipo de preparación recomienda realizar las siguientes pruebas antes de la implementación general:
Este mes puede ser un poco difícil probar la automatización/scripts de Microsoft Office y la integración con aplicaciones de terceros debido al cambio en OLE y cómo Microsoft ha abordado CVE-2023-36884. Recomendamos una prueba completa de las macros de Excel (si usan OLE/COM/DCOM) y cualquier script VBS que incluya Word.
Estos son los cambios importantes en el servicio (y la mayoría de las actualizaciones de seguridad) para las plataformas de servidor y de escritorio de Windows.
Cada mes, dividimos el ciclo de actualización en familias de productos (según lo define Microsoft) con las siguientes agrupaciones básicas:
Es difícil de creer, pero no hay actualizaciones del navegador en este ciclo de actualización. Y tampoco vemos nada en proceso para un lanzamiento a mitad de ciclo. Este es un gran cambio y una gran mejora con respecto a los días de actualizaciones de navegador grandes, complejas y urgentes. ¡Vaya Microsoft!
Microsoft lanzó ocho actualizaciones críticas y 95 parches calificados como importantes para la plataforma Windows, que cubren estos componentes clave:
Como se mencionó en la sección anterior de Microsoft Office, creemos que este mes la atención debería centrarse en la resolución inmediata de CVE-2023-36884. Aunque Microsoft lo calificó como importante (lamento ser contrario), creemos que, dado que ha sido divulgado y explotado públicamente, debe tratarse como urgente. Junto con el otro día cero de Windows (CVE-2023-32046), esto coloca a todo el grupo de actualizaciones de Windows en el programa "Parchear ahora" para nuestros clientes. Una vez que cesen los gritos, puedes tomarte un tiempo para ver el video del lanzamiento de Windows 11; lo encontramos calmante.
Necesitamos hablar de Microsoft Office. Aunque hay dos actualizaciones clasificadas críticas para SharePoint (CVE-2023-33157 y CVE-2023-33160) y 14 actualizaciones clasificadas como importantes por Microsoft, el elefante en la sala es CVE-2023-36884 (vulnerabilidad RCE de Office y HTML). Esta vulnerabilidad ha sido divulgada públicamente y documentada como explotada. Oficialmente, esta actualización pertenece al grupo de Windows, pero creemos que el verdadero impacto radica en cómo Microsoft Office maneja los datos HTML (transmitir/almacenar/calcular). CVE-2023-36884 afecta directamente a Office y su régimen de pruebas debería reflejar esto.
Agregue estas actualizaciones de Office a su programa de lanzamiento estándar, teniendo en cuenta que su régimen de prueba de parches de Office deberá combinarse con su programa de lanzamiento de actualizaciones de Windows.
Para nuestra buena suerte, no hay actualizaciones para Microsoft Exchange Server este mes.
En comparación con los muy graves (y numerosos) exploits en Office y Windows de este mes, sólo hay cinco actualizaciones que afectan a Visual Studio, ASP.NET y un componente menor de Mono (la implementación multiplataforma de C#). Todos estos parches están clasificados como importantes por Microsoft y deben agregarse a su calendario de lanzamiento estándar para desarrolladores.
Más buenas noticias: no hay actualizaciones de Adobe ni de otros proveedores externos en esta actualización.
Greg Lambert es un evangelista de Application Readiness, los especialistas en evaluación en línea y conversión de aplicaciones. Greg es cofundador de ChangeBASE y ahora director ejecutivo de Application Readiness, y tiene una experiencia considerable en la tecnología de empaquetado de aplicaciones y su implementación.
Copyright © 2023 IDG Communications, Inc.
Problemas conocidosRevisiones importantesMitigaciones y solucionesGuía de pruebaAlto riesgoRiesgo estándarActualización del ciclo de vida de WindowsNavegadoresventanasoficina de microsoftServidor Microsoft Exchangeplataformas de desarrollo de microsoftAdobe Reader (todavía aquí, pero no este mes)