Como viene siendo habitual desde hace tiempo, el segundo martes de cada mes es el día de descargar y aplicar los parches publicados por Microsoft. En esta ocasión se han publicado 14 boletines de seguridad que solucionan 47 vulnerabilidades, pero este mes será el último en el que Microsoft publica estos parches de la forma en que lo venía haciendo hasta ahora.
Parches para todos los gustos
En los boletines de seguridad de este mes se han solucionado numerosas vulnerabilidades presentes en muchos productos de Microsoft y de Adobe. Concretamente, se solucionan agujeros de seguridad en varias versiones de Windows, MS Office, Exchange, Office Service y Web Apps, los navegadores Internet Explorer y Edge y también en Adobe Flash Player.
Entre las vulnerabilidades solucionadas encontramos varias consideradas como críticas. Un ejemplo es la que afecta a las versiones 9 y 11 de Internet Explorer y que podría permitir a un atacante llegar a tomar el control de un sistema Windows, siempre que el usuario esté registrado con permisos de administrador.
Además de esta vulnerabilidad, investigadores han alertado de una vulnerabilidad 0-day que no ha sido hecha pública pero que está siendo aprovechada por atacantes. Algunos grupos de delincuentes la estarían aprovechando para propagar malware a través de anuncios maliciosos en webs con varios visitantes, mediante el uso de técnicas de esteganografía.
Cambios en la política de actualizaciones
La publicación de los boletines de seguridad de Microsoft correspondientes a septiembre marcan un punto de inflexión en un proceso establecido desde hace muchos años. A partir del mes que viene, Microsoft dejará de publicar estas actualizaciones por separado, algo que permite a los usuarios elegir qué parches instalar y cuáles no, y los incluirá todos en una única actualización.
Este cambio de política fue anunciado por Microsoft el pasado mes de mayo y recordado hace unas semanas, aportando más información sobre cómo se realizarán las actualizaciones a partir de octubre. El motivo principal argumentado por Microsoft fue evitar la fragmentación de los sistemas, donde millones de ordenadores tendrían diferentes actualizaciones instaladas en sus sistemas generando varios problemas para los usuarios y las empresas.
Al cambiar el modelo de distribución de parches, Microsoft se asegura de que todos los usuarios que actualicen lo harán con todos los parches incluidos, sin posibilidad de que se quede alguno fuera. Además, les permitirá reducir el tamaño de estas actualizaciones y mejorar su calidad.
Además, se pondrán a disposición de aquellos usuarios que lo soliciten (principalmente empresas) la posibilidad de descargar e instalar solamente aquellos parches relacionados con la seguridad del sistema, descartando aquellos pensados para proporcionar estabilidad a las aplicaciones instaladas y el propio sistema.
Esto evitaría posibles problemas provocados por aquellos parches que causen que una aplicación deje de funcionar o no lo haga correctamente debido a que no se ha probado su estabilidad en todos los escenarios posibles. A día de hoy, este tipo de problemas es lo que más preocupa a los administradores de sistemas que ven cómo, a partir del mes que viene, se les quita la posibilidad de ser selectivos con los parches que aplican.
Algunas voces ya han alertado de que esta política del “todo o nada” puede causar el efecto contrario al deseado, y es que podríamos empezar a encontrar entornos corporativos en los que no se aplique ningún parche de seguridad porque los administradores de sistemas no se fían o no han podido probarlos antes de instalarlos en todos los equipos, asegurándose de que no van a causar problemas.
Conclusión
Microsoft ha optado por dar un paso adelante en su sistema de actualizaciones para facilitar a los usuarios la instalación de los parches de seguridad. Sin duda es una buena noticia, pero hemos de ver cómo afecta este cambio a la seguridad de las empresas que, cada mes, deben revisar que no se generan problemas en los múltiples equipos que han de gestionar.
Hay que decir que la gran mayoría de usuarios domésticos no notarán apenas diferencias en la forma en la que descargan y aplican estos parches de seguridad. Sin embargo, algunas voces animan a Microsoft incluso a publicar los parches de seguridad tan pronto como estén disponibles, sin esperar a la siguiente fecha programada.
Esto ayudaría a solucionar vulnerabilidades sin dejar abierta una ventana de exposición demasiado grande, aunque supondría un mayor trabajo para los administradores de sistemas. Sin embargo, la experiencia con numerosas distribuciones de Linux que llevan aplicando esta política de actualizaciones desde hace muchos años es positiva y podría ser un camino muy interesante a tener en cuenta por parte de Microsoft.