Parche de vulnerabilidad día-cero explotada actualmente usando Internet Explorer.
Son 8 actualizaciones de seguridad las que ha publicado Microsoft el día de hoy. Tres son de severidad Crítica y cinco son de severidad Importante. Las actualizaciones corrigen vulnerabilidades en sistemas Microsoft Windows, Internet Explorer, y Microsoft Office.
Es recomendable aplicar las actualizaciones críticas lo más pronto que sea posible. Y evaluar el posible impacto antes de aplicarlas. Al menos dar prioridad a la actualización MS13-090, que corrige el fallo en un control ActiveX en sistemas Windows XP, Vista, 7, 8, RT, 8.1, y RT 8.1, y que está siendo objeto de ataques limitados para explotar la vulnerabilidad. Se trata de una de las vulnerabilidades reportadas por FireEye que estaba siendo explotada con sólo visitar un sitio web comprometido alojado en EEUU, infectando de malware al computador. La otra vulnerabilidad reportada por FireEye, la que permite la divulgación de información, sigue siendo analizada por Microsoft aunque ya ha dicho que el nivel de severidad es más bajo al no permitir la ejecución remota de código.
Aunque no se tienen reportes de ataques, también es conveniente priorizar las actualizaciones MS13-088 para Internet Explorer 6, 7, 8, 9, 10 y 11 en Windows XP, Vista, 7, 8 y RT; y MS13-089 para todas las ediciones de Windows. Corrigen vulnerabilidades que podrían permitir la ejecución remota de código en el sistema afectado.
Como ya había anticipado Microsoft, el parche de la vulnerabilidad día-cero en Office, Windows y Lync no fue publicado. Hay que estar al pendiente del parche que seguro será publicado tan pronto esté disponible sin tener que esperar a un martes de parches.
A partir del 2-Ene-2016 Microsoft no reconocerá los certificados digitales basados en SHA-1 para SSL y firma de código. Los administradores web y desarrolladores de aplicaciones de cifrado deben dejar de usar dicho algoritmo para mitigar el riesgo de suplantación de contenido, ataques de phishing o Man-In-the-Middle. Para mitigar el riesgo de ataques Man-In-the-Middle, Microsoft ha publicado actualizaciones para desactivar el uso del cifrado de flujo RC4 en Windows 7, 8, y RT, así como en Windows Server 2008 R2, y 2012; y para la autenticación de las conexiones DirectAccess.
Por su parte, Adobe ha publicado una actualizaciones de seguridad para Flash Player en Windows, Mac y Linux, que corrige vulnerabilidades que podrían hacer que el software deje de funcionar y permitir que un atacante tome el control total del sistema. El usuario debe actualizar Flash Player según el navegador que utilice. Si usa varios navegadores, entonces debe aplicar la actualización que corresponda a cada uno de ellos. Internet Explorer 10 y Chrome lo hacen de forma automática, al iniciar.