Este martes de parches Microsoft ha publicado 16 actualizaciones de seguridad que corrigen 36 vulnerabilidades en Microsoft Windows, Microsoft Internet Explorer, Microsoft Edge, Microsoft Office, Microsoft Office Services and Web, Microsoft .NET Framework, y Adobe Flash Player.
Siete actualizaciones son de severidad Crítica debido a que la vulnerabilidad que corrige podría ser explotada permitiendo la ejecución remota de código sin interacción con el usuario, típico al acceder a páginas web o correo electrónico con malware que se ejecuta sin que el usuario se dé cuenta. El resto de las actualizaciones han sido catalogadas como de severidad Importante.
Es recomendable aplicar todos los parches de seguridad, al menos de inmediato los catalogados como de severidad Crítica:
- MS16-051, la actualización acumulativa de seguridad para Internet Explorer.
- MS16-052, la actualización acumulativa de seguridad para Edge.
- MS16-053, la actualización acumulativa de seguridad para JScript y VBScript.
- MS16-054, para Microsoft Office.
- MS16-055, MS16-056, y MS16-057 para Microsoft Windows.
- MS16-064, para Adobe Flash Player para Windows.
Dar prioridad a las actualizaciones MS16-051 y MS16-053 ya que se tienen indicios de que una vulnerabilidad (CVE-2016-0189) que corrigen está siendo objeto de ataques de explotación. También a la actualización MS16-065 para Microsoft .NET Framework, ya que la vulnerabilidad (CVE-2016-0149) corregida ha sido divulgada y es posible que sea utilizada en ataques futuros de explotación. También la actualización MS16-064 relacionada con las bibliotecas de Adobe Flash en Internet Explorer y Microsoft Edge en Windows.
Microsoft publica también una versión actualizada de la Herramienta de Eliminación de Software Malicioso de Microsoft (MSRT) para eliminar software malicioso específico en equipos con Windows.
Esta herramienta y las actualizaciones de seguridad publicadas por Microsoft pueden ser aplicadas vía Windows Update o directamente desde cada página web de la actualización. En el caso de las organizaciones es recomendable que antes de aplicarlas, los administradores de sistemas realicen alguna prueba del impacto en aplicaciones internas y en la continuidad de la red.
Adobe ha publicado una actualización de seguridad (APSB16-16) para ColdFusion 10, 11 y la edición 2016. Es recomendable aplicar la actualización siguiendo las instrucciones provistas por Adobe.
También Adobe ha publicado una alerta de seguridad (APSA16-02) sobre la existencia de una vulnerabilidad crítica (CVE-2016-4117) en Flash Player 21.0.0.226 y versiones anteriores para Windows, Macintosh, Linux, y Chrome OS. La explotación exitosa de la vulnerabilidad podría ocasionar que Flash Player deje de funcionar y permitir al atacante tomar el control del sistema vulnerable. Adobe ha reportado que hay indicios de que la vulnerabilidad está siendo objeto de ataques. Se estima que para el 12-May esté disponible la actualización de seguridad.