Patch Tuesday, 2016 US Election Edition – Krebs sobre seguridad

Aclaremos esto desde el principio: tener «elecciones de 2016» en el titular anterior es probablemente la única razón por la que alguien podría leer esta historia hoy. No está claro si los republicanos y los demócratas pueden arreglar las cosas después de unas elecciones dolorosas y divisivas, pero gracias a un parche especial del día de las elecciones el martes, cientos de millones de usuarios de Adobe y Microsoft tienen que hacer parches más inmediatos.

Mientras los ojos del mundo permanecían pegados a las pantallas después de las elecciones presidenciales de EE. UU. durante la noche, microsoft y Adobe estaban ocupados produciendo una gran cantidad de nuevas actualizaciones de seguridad para ventanas, MS Office, Reproductor Flash y otro software. Si usa Flash Player o productos de Microsoft, respire hondo y siga leyendo.

Regularmente programado para el segundo martes de cada mes, el “martes de parches” de este mes cayó de lleno en el día de las elecciones en los Estados Unidos e incluyó 14 paquetes de parches. Esos parches corrigieron un total de 68 fallas de seguridad únicas en Windows y software relacionado..

Seis de los 14 parches llevan la etiqueta «crítica» más grave de Microsoft, lo que significa que corrigen errores que el malware o los delincuentes podrían usar para comprometer de forma remota las PC vulnerables sin ninguna ayuda de los usuarios, aparte de visitar un sitio web pirateado o malicioso.

Microsoft dice que dos de las fallas de software abordadas esta semana ya están siendo explotadas en ataques activos. También advirtió que tres de las vulnerabilidades del software se detallaron públicamente antes del lanzamiento de estas correcciones, lo que podría dar a los atacantes una ventaja para descubrir cómo explotar los errores.

“MS16-129 es nuestro habitual desayuno de perros de vulnerabilidades de ejecución remota de código en el Borde de Microsoft navegador, lo que afecta tanto la representación HTML como las secuencias de comandos”, dijo bobby kuzmaingeniero de sistemas en Seguridad central. “MS16-130 contiene una escalada de privilegios en la función de teclado en pantalla desde Vista en adelante. Esa es una gran noticia para cualquiera que opere quioscos con pantalla táctil que supuestamente están bloqueados”.

Como parte de una nueva política de Microsoft que entró en vigencia el mes pasado, los usuarios domésticos y comerciales de Windows ya no podrán elegir qué actualizaciones instalar y cuáles dejar para otro momento. consumidores en Paquete de servicio 1 de Windows 7 y Windows 8.1 de ahora en adelante recibirá lo que Redmond llama un «paquete acumulativo mensual», que aborda tanto los problemas de seguridad como los problemas de confiabilidad en una sola actualización. La opción «Actualizaciones solo de seguridad», destinada a empresas y no disponible a través de Windows Update, solo incluirá nuevos parches de seguridad que se publiquen para ese mes. Lo que esto significa es que si alguna parte del paquete de parches se rompe, la única opción es eliminar el paquete completo (en lugar del parche ofensivo, como era posible anteriormente).

Es importante tener en cuenta que varios tipos de actualizaciones no se incluirán en un paquete acumulativo, incluidos los liberado para Adobe Flash Player el martes. Por segunda vez este mes, Adobe lanzó una actualización crítica para su omnipresente complemento de navegador Flash Player. La versión Flash más reciente: v. 23.0.0.207 y disponible aquí para computadoras Windows y Mac: corrige al menos nueve fallas más en Flash. Para ver si tiene Flash instalado y, de ser así, qué versión se está ejecutando, consulte este enlace.

Es posible que los usuarios de Google deban reiniciar el navegador para instalar o descargar automáticamente la última versión. En caso de duda, haga clic en el icono de tres puntos verticales a la derecha de la barra de URL, seleccione «Ayuda», luego «Acerca de Chrome»: si hay una actualización disponible, Chrome debería instalarla en ese momento.

De alguna manera, KrebsonSecurity olvidó mencionar la otra actualización crítica que Adobe impulsó para Flash el 26 de octubre de 2016 (mis amigos, lo siento). A veces es muy difícil mantenerse al día con las actualizaciones de Flash. Esa es parte de la razón por la que continuaré alentando a los lectores a desactivar o eliminar Adobe Flash a menos que sea necesario para algo específico. Menos sitios ahora lo requieren, y dejar este potente y defectuoso programa habilitado todo el tiempo es simplemente buscar problemas de seguridad. Consulte los consejos en Un mes sin Adobe Flash Player para obtener sugerencias sobre cómo cojear o prescindir de Flash por completo.

De hecho, Google según se informa está planeando eliminar el soporte total para Flash en su navegador Chrome para fines de 2016. Y Mozilla ahora está bloqueando cierto contenido Flash considerado «no esencial para la experiencia del usuario». Concretamente, tal y como afirma Mozilla’s Benjamín SmedbergMozilla Firefox está bloqueando contenido Flash específico que es invisible para los usuarios.

“Se espera que esto reduzca los bloqueos y bloqueos de Flash hasta en un 10 %. Para minimizar los problemas de compatibilidad del sitio web, los cambios se limitan inicialmente a un breve y seleccionado lista de contenido Flash que se puede reemplazar con HTML”, escribió Smedberg en junio. “Tenemos la intención de agregar a esta lista con el tiempo”.

Para obtener más información sobre los parches de esta semana, consulte la cobertura de las empresas de seguridad. Calificaciones y Shavlik. Y, como siempre, si tiene problemas para descargar o instalar alguna de estas actualizaciones, deje una nota al respecto en los comentarios a continuación.