microsoft lanzó hoy actualizaciones para tapar agujeros de seguridad en su software, incluidos parches para corregir al menos 74 debilidades en varios tipos de ventanas y programas que se ejecutan encima de él. Las actualizaciones de noviembre incluyen parches para una falla de día cero en explorador de Internet que actualmente se está explotando en la naturaleza, así como un error furtivo en ciertas versiones de Oficina para Mac que pasa por alto las protecciones de seguridad y se detalló públicamente antes de los parches de hoy.
Quizás el más preocupante de esos agujeros críticos es una falla de día cero en Internet. Reventador explorador (CVE-2019-1429) que ya ha experimentado una explotación activa. Las actualizaciones de hoy también abordan otras dos vulnerabilidades críticas en el mismo componente de Windows que maneja varios lenguajes de secuencias de comandos.
Microsoft también corrigió una falla en Microsoft Office para Mac (CVE-2019-1457) que podría permitir a los atacantes eludir las protecciones de seguridad en algunas versiones del programa.
Las macros son fragmentos de código informático que se pueden incrustar en los archivos de Office, y los proveedores de malware utilizan con frecuencia macros maliciosas para comprometer los sistemas de Windows. Por lo general, esto toma la forma de un mensaje que insta al usuario a «habilitar macros» una vez que haya abierto un documento de Office trampa explosiva enviado por correo electrónico. Por lo tanto, Office tiene una función llamada «deshabilitar todas las macros sin notificación».
Pero Microsoft dice que todas las versiones de Office aún admiten un tipo más antiguo de macros que no respetan esta configuración y pueden usarse como un vector para enviar malware. dormann del CERT/CC ha informado que Office 2016 y 2019 para Mac no avisarán al usuario antes de ejecutar estos tipos de macros anteriores si se usa la configuración «Deshabilitar todas las macros sin notificación».
Otras aplicaciones o componentes de Windows que reciben parches para fallas críticas hoy en día incluyen Microsoft Exchange y Windows Media Player. Además, Microsoft también parchó nueve vulnerabilidades, cinco de ellas críticas, en el Windows Hyper-Vun complemento de la Sistema operativo de servidor de Windows (y Windows 10 Pro) que permite a los usuarios crear y ejecutar maquinas virtuales (otros sistemas operativos «invitados») desde Windows.
A pesar de Adobe normalmente emite parches para su Reproductor Flash componente del navegador en Patch Tuesday, este es el segundo mes consecutivo que Adobe no ha lanzado ninguna actualización de seguridad para Flash. Sin embargo, Adobe introdujo hoy correcciones de seguridad para una variedad de sus suites de software creativo, que incluyen Animar, ilustrador, Codificador de medios y Puente. Además, olvidé señalar el mes pasado que Adobe lanzó una actualización crítica para acróbata/lector eso abordó al menos 67 erroresasí que si tiene alguno de estos productos instalados, asegúrese de que estén parcheados y actualizados.
Finalmente, Google recientemente corrigió una falla de día cero en su Cromo Navegador web (CVE-2019-13720). Si usa Chrome y ve una flecha hacia arriba a la derecha de la barra de direcciones, tiene una actualización pendiente; cerrar completamente y reiniciar el navegador debería instalar las actualizaciones disponibles.
Ahora parece un buen momento para recordarles a todos ventanas 7 usuarios finales que Microsoft dejará de enviar actualizaciones de seguridad después de enero de 2020 (este final de vida útil también afecta a Windows Server 2008 y 2008 R2). Si bien las empresas y otros compradores de licencias por volumen tiene la opción de pagar por arreglos adicionales después de ese punto, todos los demás usuarios de Windows 7 que quieran quedarse con Windows deberán considerar migrar a ventanas 10 pronto.
Advertencia estándar: a Windows 10 le gusta instalar parches de una sola vez y reiniciar su computadora en su propio horario. Microsoft no facilita que los usuarios de Windows 10 cambien esta configuración, pero es posible. Para todos los demás usuarios del sistema operativo Windows, si prefiere recibir alertas sobre nuevas actualizaciones cuando estén disponibles para que pueda elegir cuándo instalarlas, hay una configuración para eso en Windows Update. Para llegar allí, haga clic en la tecla de Windows en su teclado y escriba «actualización de Windows» en el cuadro que aparece.
Tenga en cuenta que si bien mantenerse actualizado con los parches de Windows es una buena idea, es importante asegurarse de actualizar solo después de haber realizado una copia de seguridad de sus datos y archivos importantes. Una copia de seguridad confiable significa que probablemente no te asustes cuando algún parche con errores cause problemas al arrancar el sistema. Así que hágase un favor y haga una copia de seguridad de sus archivos antes de instalar cualquier parche.
Como siempre, si experimenta fallas o problemas al instalar cualquiera de estos parches este mes, no dude en dejar un comentario al respecto a continuación; hay una posibilidad decente de que otros lectores hayan experimentado lo mismo e incluso puedan intervenir aquí con algunos consejos útiles.
Actualización, 13 de noviembre, 11:34 am: Una versión anterior de esta historia tergiversó algunos de los hallazgos del CERT/CC y escribió mal el nombre del investigador. La publicación anterior ha sido corregida.
Relacionado:
Microsoft Patch Martes, edición de abril de 2020 – Krebs sobre seguridad
