Microsoft publica 16 actualizaciones de seguridad, Adobe alerta de ataques para explotar fallo en Flash Player
Este martes de parches Microsoft ha publicado 16 actualizaciones de seguridad que corrigen 44 vulnerabilidades en Microsoft Windows, Microsoft Internet Explorer, Microsoft Edge, Microsoft Office, Microsoft Office Services and Web Apps, y Microsoft Exchange Server.
Cinco actualizaciones son de severidad Crítica debido a que la vulnerabilidad que corrige podría ser explotada permitiendo la ejecución remota de código sin interacción con el usuario, típico al acceder a páginas web o correo electrónico con malware que se ejecuta sin que el usuario se dé cuenta. El resto de las actualizaciones han sido catalogadas como de severidad Importante.
Es recomendable aplicar todos los parches de seguridad, al menos de inmediato los catalogados como de severidad Crítica:
- MS16-063, la actualización acumulativa de seguridad para Internet Explorer.
- MS16-068, la actualización acumulativa de seguridad para Edge.
- MS16-069, la actualización acumulativa de seguridad para JScript y VBScript.
- MS16-070, para Microsoft Office.
- MS16-071, para Microsoft Windows.
También dar prioridad a las actualizaciones MS16-075 para Windows SMB Server, MS16-077 para WPAD (Web Proxy Auto Discovery) de Windows, y MS16-082 del componente de búsqueda de Windows, ya que las vulnerabilidades corregidas han sido divulgadas y es posible que sean utilizadas en ataques futuros de explotación. La vulnerabilidad divulgada de Windows SMB Server es la CVE-2016-3225, ahora corregida por Microsoft, y para explotarla el atacante debe poder iniciar sesión con credenciales válidas en el sistema vulnerable. Para WPAD de Windows la vulnerabilidad divulgada es la CVE-2016-3236. Ambas vulnerabilidades son de elevación de privilegios.
La vulnerabilidad divulgada del componente de búsqueda de Windows es la CVE-2016-3230 de negación de servicio.
Microsoft publica también una versión actualizada de la Herramienta de Eliminación de Software Malicioso de Microsoft (MSRT) para eliminar software malicioso específico en equipos con Windows.
Esta herramienta y las actualizaciones de seguridad publicadas por Microsoft pueden ser aplicadas vía Windows Update o directamente desde cada página web de la actualización. En el caso de las organizaciones es recomendable que antes de aplicarlas, los administradores de sistemas realicen alguna prueba del impacto en aplicaciones internas y en la continuidad de la red.
Adobe ha publicado cinco actualizaciones de seguridad para Adobe Flash Player, Adobe DNG SDK para Windows y Mac; Adobe Brackets para Windows, Macintosh y Linux; Adobe Creative Cloud Desktop Application para Windows, y ColdFusion 10, 11 y 2016. Es recomendable aplicar las actualizaciones siguiendo las instrucciones provistas por Adobe.
Adobe ha publicado también un Aviso de Seguridad para alertar sobre la existencia de una vulnerabilidad crítica en Adobe Flash Player 21.0.0.242 y anteriores para los sistemas Windows, Macintosh, Linux, y Chrome OS. La vulnerabilidad es la CVE-2016-4171 y de ser explotada con éxito por un atacante la aplicación podría dejar de funcionar y permitir el control total del sistema afectado. Se tienen indicios de la existencia de exploit o código de explotación de la vulnerabilidad y de que está siendo utilizado en ataques dirigidos y limitados. Adobe estima publicar la actualización el jueves 16-Jun o antes si es posible.