Microsoft corrigió 18 vulnerabilidades críticas de seguridad.
El martes de parches de este mes, Microsoft publicó actualizaciones de seguridad para 123 vulnerabilidades en los productos:
- Microsoft Windows
- Microsoft Edge (EdgeHTML-based)
- Microsoft Edge (Chromium-based) in IE Mode
- Microsoft ChakraCore
- Internet Explorer
- Microsoft Office and Microsoft Office Services and Web Apps
- Windows Defender
- Skype for Business
- Visual Studio
- Microsoft OneDrive
- Open Source Software
- .NET Framework
- Azure DevOps
De las vulnerabilidades corregidas, 18 son de severidad Crítica y se encuentran principalmente en .NET Framework, SharePoint, Visual Studio, Office, Lynk, Skype for Business, Internet Explorer, y Windows.
Hasta el momento, no hay reportes de que alguna de las vulnerabilidades solucionadas esté siendo objeto de ataque de explotación. No obstante, es recomendable revisar los equipos para implementar los nuevos parches.
Dar prioridad a la actualización que resuelve la vulnerabilidad CVE-2020-1350, en el componente DNS del servidor de Windows, ya que puede ser utilizado para la auto-propagación de malware entre computadoras vulnerables sin interacción del usuario, pudiendo ocasionar interrupciones significativas del servicio DNS y el compromiso de las cuentas de dominio de alto nivel.
Las últimas actualizaciones de la pila de servicios para cada versión de Windows se puede encontrar aquí, cuya lista será actualizada cada vez que se lance una nueva actualización de la pila de servicios.
Las actualizaciones de Windows 10 son acumulativas y están disponibles a través del catálogo de Microsoft Update. Las actualizaciones para Windows RT 8.1 y Microsoft Office RT están disponibles a través de Windows Update.
Implementar las actualizaciones críticas es prioritario, ya que alguna de las vulnerabilidades corregidas podría ser explotada permitiendo la ejecución remota de código sin interacción con el usuario. Por ejemplo al acceder a páginas web o correo electrónico con malware que se ejecuta sin que el usuario se dé cuenta.
Adobe publicó 5 actualizaciones de seguridad.
De su lado, el mismo martes de parches, Adobe publicó actualizaciones de seguridad para corregir vulnerabilidades en los productos:
- Adobe Download Manager
- Adobe ColdFusion
- Adobe Genuine Service
- Adobe Media Encoder
- Adobe Creative Cloud Desktop Application
Las actualizaciones para Download Manager, y Media Encoder corrigen vulnerabilidades críticas, cuya explotación exitosa podría conducir a la ejecución remota de código.
La actualización para Creative Cloud Desktop Application corrige una vulnerabilidad crítica, que de ser explotada con éxito podría permitir la escritura arbitraria del sistema de archivos.
Actualización de Java.
También Oracle publicó su CPU (Actualizaciones Críticas de Seguridad) de julio de 2020, corrigiendo 443 fallos de seguridad en productos Oracle.
La actualización para Java SE corrige 11 vulnerabilidades críticas, las cuales pueden ser explotadas de forma remota sin autenticación. Es decir, la vulnerabilidad puede ser explotada sobre una red sin la necesidad de utilizar una cuenta de usuario y contraseña.
La nueva versión del popular software para el navegador es Java 8 Update 261. Es recomendable actualizar Java tan pronto como sea posible, previa realización de alguna prueba del impacto en aplicaciones dependientes de Java.
Es recomendable que el usuario verifique que utiliza versiones soportadas por Oracle y aplique de inmediato los parches de seguridad disponibles. La falta de aplicación de los parches ya publicados ocasiona la persistencia de los ataques de explotación maliciosa de las vulnerabilidades ya corregidas. El éxito del ataque de explotación suele relacionarse por la falta de aplicación de los parches de seguridad.
La próxima CPU será publicada el 20 de octubre de 2020, de acuerdo con la política de Oracle, de publicar la CPU cada tres meses, el martes más cercano al día 17 de los meses de enero, abril, julio y octubre.
Verifique si sus computadoras tienen la última actualización de Microsoft
Lansweeper es una solución de software para la gestión de los activos de software, el inventario de la red, inventario de software, entre otras funcionalidades, además de ser una herramienta útil para la auditoría de licencias de software.
Con Lansweeper podrá verificar si las computadoras cuentan con los parches de Microsoft. Use el Informe de Auditoría de Lansweeper para verificar que los activos en su red cuentan con las actualizaciones de Microsoft. El Informe está codificado por colores para ofrecerle una descripción rápida y sencilla de qué activos están actualizados y cuáles aún deben ser parchados.
Es recomendable implementar las actualizaciones previo análisis de impacto para no afectar la estabilidad de los sistemas.
Con potentes funciones y toneladas de mejoras, ahora es un buen momento para comenzar una prueba gratuita de Lansweeper para explorar su red y obtener rápidamente información de los dispositivos de la red.