Microsoft despliega una de sus mayores actualizaciones de seguridad del año
La compañía publica sus boletines de seguridad habituales correspondientes al segundo martes de cada mes. En esta ocasión, libera 14 boletines de seguridad, 7 de las cuales cubren vulnerabilidades catalogadas como críticas. Está considerada la mayor de las lanzadas este año.
Los parches quedan divididos en 14 boletines de seguridad, incluyendo uno específico dedicado a Flash Player. De los mencionados, 7 han sido considerados como críticos. En su mayoría, están dirigidos a solventar fallos detectados en Windows, Internet Explorer, Microsoft Edge, Exchange y Office, además de los servicios y aplicaciones web asociados a Office 365. Un total de 50 vulnerabilidades cubren el espectro final, con 26 asociadas al producto Flash Player de Adobe. También se incluye el navegador Edge.
Microsoft destaca que los administradores deben dar prioridad a las correcciones de Internet Explorer, previstas en el boletín MS16-104, así como las de Microsoft Edge (MS16-105), Microsoft Office (MS16-107), Microsoft Graphics Component (MS16-106), OLE Automation para VBScript (MS16-116) y Adobe Flash Player (MS16-117).
La mayoría de las vulnerabilidades pueden ser explotadas de manera que permitan la ejecución de código de forma remota, engañando a los usuarios a visitar determinadas URL comprometidas, o a abrir archivos diseñados para propagar código malicioso. Estos suelen ser los vectores de ataques más explotados por los cibercriminales para llevar a cabo sus ataques.
Otra de las vulnerabilidades relacionadas con los navegadores de Microsoft, tanto de Explorer como Edge, CVE-2016-3351, se podría aprovechar para divulgar información en cadena. Esta vulnerabilidad no ha sido divulgada al público, pero ha sido ya empleada. La compañía no ha dado más detalles al respecto.
La actualización de seguridad para Silverlight (MS16-109) también debe ser una prioridad, a pesar de que estar clasificada como importante, y no como crítica. La vulnerabilidad podría provocar la ejecución remota de código si un usuario visita una página web comprometida que contiene una aplicación diseñada especialmente para Silverlight.
En el apartado de los servidores, los administradores deben centrarse en la actualización para Microsoft Exchange (MS16-108), que parchea las vulnerabilidades críticas en el Oracle Outside In Technology (OIT). Se trata de una colección de (SDK) que pueden ser utilizados para extraer, formatos de archivo no estructurados.
Los investigadores del equipo de Talos de Cisco encontraron a principios de año dichas vulnerabilidades asociadas a Oracle OIT e informaron de que podrían afectar a muchos proveedores, incluyendo Microsoft Exchange. Oracle lanzó actualizaciones en el mes de julio y Microsoft ha importado ahora estas correcciones.
La actualización de Office también debe estar en la agenda de los administradores de TI encargados de tener al día los servidores, dado que se aplica a Microsoft SharePoint Server 2007, 2010 y 2013. Según lo descubierto, el fallo podría permitir a atacantes tomar el control completo de los servidores afectados, mediante el servicio de automatización de Word y Excel, destaca en su blog Amol Sarwate, director de vulnerabilidades de los laboratorios de Qualys.
Es una información del servicio de noticias IDG News Service, Lucian Constantin
