Microsoft publica parche para Flash Player

Microsoft publicó ayer, 21 de febrero, una actualización para el software Adobe Flash Player para solucionar una importante vulnerabilidad que ya fue parcheada por Adobe el pasado martes 14 de febrero. Precisamente ese día muchos se quedaron esperando las actualizaciones periódicas que Microsoft viene publicando sin falta el segundo martes de cada mes y que durante febrero no aparecieron por ningún lado.

Vulnerabilidad en Flash Player

La publicación de este boletín de seguridad fuera del ciclo de actualizaciones periódicas de Microsoft ha sido debido al nivel crítico de la vulnerabilidad, que permitiría a un atacante ejecutar remotamente comandos en un sistema vulnerable. Para ello, tan solo debería preparar unos scripts que se ejecutasen en páginas webs comprometidas o controladas por el atacante y que ejecutarían código malicioso en aquellos sistemas que las visitasen, permitiendo así la instalación de malware.

Esta vulnerabilidad ha sido catalogada como crítica en sistemas de escritorio a partir de Windows 8.1 y en servidores para Windows Server 2016. En versiones anteriores como Windows Server 2012 se le ha otorgado la categoría de moderada, aunque se recomienda su instalación en todos los sistemas afectados.

Viendo el historial de vulnerabilidades y el uso cada vez menor que se le da a Adobe Flash Player, sería recomendable que nos replanteásemos si nos sale a cuenta seguir usando este complemento. Si optamos por desinstalarlo estaremos cerrando la puerta a muchas de las amenazas que han estado aprovechando esta y otras vulnerabilidades anteriores, por lo que es algo a considerar.

Google publica nueva vulnerabilidad

Por si fuera poco, Google acaba de anunciar detalles de una nueva vulnerabilidad en la librería GDI de Windows para la cual aún no existe un parche de seguridad, y que permitiría a un atacante robar datos confidenciales desde la memoria. Como suele ser habitual en las investigaciones de Google Project Zero, se avisó a Microsoft en junio y la empresa respondió publicando un parche de seguridad.

Sin embargo, los investigadores de Google comprobaron que el parche publicado estaba incompleto y volvieron a informar a Microsoft para que solucionase el problema. Pasados 90 días, Google ha hecho público los detalles de esta vulnerabilidad este lunes 20 de febrero.

A pesar de haber sido notificada con antelación, Microsoft no ha publicado el parche de seguridad correspondiente y tampoco tiene planes de hacerlo hasta mediados de marzo, lo que nos lleva al siguiente punto.

Retraso en las actualizaciones

Como ya hemos dicho, Microsoft ha faltado a su cita mensual el segundo martes de cada mes y en febrero no hemos visto publicados los típicos boletines de seguridad. Y no es que esos boletines no fuesen esperados, sino más bien al contrario. Desde que se hizo pública la vulnerabilidad en SMB no son pocos los usuarios que están esperando un parche que la corrija.

Todo apuntaba a que el 14 de febrero Microsoft lanzaría este parche de seguridad junto con otros para solucionar otras tantas vulnerabilidades. Sin embargo, nos quedamos esperando y Microsoft anunció que no publicaría ese ni otros parches programados hasta marzo.

Si bien es cierto que con el lanzamiento de Windows 10 Microsoft ya anunció que habrían cambios importantes en la publicación de actualizaciones, aún hay muchos usuarios (especialmente en empresas) que esperan a una fecha en concreto para revisar y aplicar las actualizaciones. Este cambio de filosofía que sobre el papel es bueno y que en otros sistemas como Linux ha demostrado su eficacia, tiene todavía que demostrar que funciona igual de bien en sistemas Windows.

Conclusión

Que no hayamos tenido los habituales boletines de seguridad en el mes de febrero puede que haya pillado a muchos desprevenidos, pero Microsoft ya anunció hace tiempo ese cambio de política. Tan solo hace falta que nos acostumbremos al nuevo funcionamiento de las actualizaciones y, sobre todo, que Microsoft no demore más de lo necesario los parches de seguridad para solucionar vulnerabilidades críticas.

Josep Albors

Cloudbleed: vulnerabilidad en Cloudflare que exponía datos confidenciales