Como viene siendo habitual desde hace años, el segundo martes de cada mes Microsoft suele publicar una batería de parches de seguridad que solucionan vulnerabilidades de diversa gravedad, algo a lo que Adobe también se adhirió hace algún tiempo. Algunas de estas están siendo aprovechadas por los delincuentes desde hace semanas y, por tanto, es importante que se instalen los parches lo antes posible.
Vulnerabilidades en varios productos Microsoft
En el boletín de seguridad publicado el pasado 12 de marzo Microsoft publicó parches para numerosas vulnerabilidades, 64 para ser exactos. Entre todas estas se encuentran 17 consideradas como críticas y 45 catalogadas como importantes, una cantidad nada despreciable a lo que se añade el factor de que algunas de ellas ya estaban siendo aprovechadas por los delincuentes.
Lo habitual es que estos parches de seguridad afecten a varios productos de Microsoft y este boletín no es ninguna excepción. Entre aquellos productos Micrososft para los que se han publicado una solución encontramos el propio sistema operativo Windows, los navegadores Internet Explorer y Edge, la suite de Office y Office Sharepoint, el servicio de mensajería y videoconferencia Skype, y las aplicaciones Visual Studio, NuGet, Team Fundation y ChakraCore, además de Adobe Flash Player.
Como ya hemos indicado, al menos dos de las vulnerabilidades parcheadas estaban siendo aprovechadas por grupos de delincuentes sin que existiese (hasta la publicación de este boletín de seguridad) un remedio para ellas. Es lo que se conoce como Vulnerabilidad de Día 0 y ambas suponen un serio peligro si no se toman las medidas de seguridad adecuadas. Una de estas debilidades podía ser explotada por un atacante junto a otro fallo recientemente descubierto en el navegador Chrome, lo que le permitiría ejecutar un código arbitrario en sistemas Windows 7 y Windows Server 2008 vulnerables.
Por su parte, el segundo problema explotado activamente por los delincuentes es bastante parecido al anterior y afecta a sistemas operativos Windows 8.1, Windows 10 y Windows Server 2012, 2016 y 2019. A pesar de que solo se han reportado el uso de estas dos vulnerabilidades por parte de los criminales, no debemos olvidar que los 17 agujeros de seguridad catalogados como críticos permiten la ejecución remota de código y sus sistemas objetivos son, principalmente Windows 10 y Server.
Adobe soluciona fallos en Photoshop CC y Digital Editions
Los parches de seguridad publicados por Adobe el pasado día 12 de marzo (aparte de las actualizaciones de Flash Player que Microsoft ya incluye en sus boletines) solucionan varias vulnerabilidades críticas que permitían la ejecución arbitraria de código. Los productos afectados son Adobe Photoshop CC y Adobe Digital Editions, y los fallos descubiertos y ahora solucionados se han clasificado como críticos, ya que permitirían a un atacante instalar código malicioso sin necesitar el permiso del usuario.
El primer parche está disponible para las versiones 19.1.7 (y versiones 19.X anteriores) y 20.0.2 (y versiones 20.X anteriores) de Adobe Photoshop CC para Windows y macOS. Por otro lado, el segundo parche afecta a Adobe Digital Editions para Windows y la vulnerabilidad ha sido solucionada en la versión 4.5.10.186048.
Tal y como sucede en el caso de los boletines de seguridad de Microsoft, se recomienda instalar estas actualizaciones lo antes posible para evitar que sean aprovechadas por delincuentes.
Conclusión
La publicación de estos boletines de seguridad sirve como recordatorio de la importancia de mantener nuestros sistemas y aplicaciones actualizados para evitar que los agujeros de seguridad sean utilizados por los atacantes en nuestra contra.
Sin embargo, no siempre es tan fácil aplicar estas actualizaciones en entornos con un elevado número de sistemas, especialmente si por su criticidad no pueden permitirse que una actualización fallida los deje inoperativos. En estas situaciones es mejor hacer caso a la experiencia de la mayoría de administradores de sistemas e ir instalando estas actualizaciones poco a poco de forma controlada.
Imagen de Got Credit en Foter.com / CC BY