Microsoft corrigió 15 vulnerabilidades críticas de seguridad.
El martes de parches de este mes, Microsoft publicó actualizaciones de seguridad para 117 vulnerabilidades en los siguientes productos, funciones y roles:
- Common Internet File System
- Dynamics Business Central Control
- Microsoft Bing
- Microsoft Dynamics
- Microsoft Exchange Server
- Microsoft Graphics Component
- Microsoft Office
- Microsoft Office Excel
- Microsoft Office SharePoint
- Microsoft Scripting Engine
- Microsoft Windows Codecs Library
- Microsoft Windows DNS
- Microsoft Windows Media Foundation
- OpenEnclave
- Power BI
- Role: DNS Server
- Role: Hyper-V
- Visual Studio Code
- Visual Studio Code – .NET Runtime
- Visual Studio Code – Maven for Java Extension
- Windows Active Directory
- Windows Address Book
- Windows AF_UNIX Socket Provider
- Windows AppContainer
- Windows AppX Deployment Extensions
- Windows Authenticode
- Windows Cloud Files Mini Filter Driver
- Windows Console Driver
- Windows Defender
- Windows Desktop Bridge
- Windows Event Tracing
- Windows File History Service
- Windows Hello
- Windows HTML Platform
- Windows Installer
- Windows Kernel
- Windows Key Distribution Center
- Windows Local Security Authority Subsystem Service
- Windows MSHTML Platform
- Windows Partition Management Driver
- Windows PFX Encryption
- Windows Print Spooler Components
- Windows Projected File System
- Windows Remote Access Connection Manager
- Windows Remote Assistance
- Windows Secure Kernel Mode
- Windows Security Account Manager
- Windows Shell
- Windows SMB
- Windows Storage Spaces Controller
- Windows TCP/IP
- Windows Win32K
De las vulnerabilidades corregidas, 15 son de severidad Crítica y se encuentran en Exchange Server, Malware Protection Engine, HEVC Video Extensions, Dynamics 365 Business Central, y Windows.
Se han corregido 9 vulnerabilidades de día cero, 4 de las cuales están siendo objeto de ataques de explotación: CVE-2021-34527 (ejecución remota de código en la cola de impresión de Windows), CVE-2021-33771 (elevación de privilegios del kernel de Windows), CVE-2021-34448 (daños en la memoria del motor de secuencias de comandos), y CVE-2021-31979 (elevación de privilegios del kernel de Windows).
Las demás cinco vulnerabilidades de día cero, que no son objeto de ataque por el momento, son: CVE-2021-34492 (suplantación de certificados de Windows), CVE-2021-34523 (elevación de privilegios de Microsoft Exchange Server), CVE-2021-34473 (ejecución remota de código de Microsoft Exchange Server), CVE-2021-33779 (omisión de la característica de seguridad de Windows ADFS), y CVE-2021-33781 (omisión de la función de seguridad de Active Directory).
Implementar las actualizaciones críticas es prioritario, ya que alguna de las vulnerabilidades corregidas podría ser explotada permitiendo la ejecución remota de código sin interacción con el usuario. Por ejemplo al acceder a páginas web o correo electrónico con malware que se ejecuta sin que el usuario se dé cuenta.
Dar prioridad a los parches que corrigen fallos críticos, ya que las vulnerabilidades corregidas podrían permitir ataques de ejecución remota de código, elevación de privilegios y denegación de servicio.
Las últimas actualizaciones de la pila de servicios para cada versión de Windows se puede encontrar aquí, cuya lista será actualizada cada vez que se lance una nueva actualización de la pila de servicios.
Las actualizaciones de Windows 10 son acumulativas y están disponibles a través del catálogo de Microsoft Update. Las actualizaciones para Windows RT 8.1 y Microsoft Office RT están disponibles a través de Windows Update.
Fin de vida de SQL Compact 4.0
SQL Compact (SQL CE) 4.0 llegó al final de su vida y dejará de ser soportada por Microsoft.
SQL Server Compact fue diseñado como una versión más ligera de la instalación completa de SQL Server.
Actualizaciones de seguridad para productos Adobe.
De su lado, el mismo martes de parches, Adobe publicó actualizaciones de seguridad para los siguientes productos:
Todas las actualizaciones resuelven vulnerabilidades críticas, cuya explotación exitosa podría conducir a la ejecución de código arbitrario en el contexto del usuario.
Es recomendable implementar las actualizaciones críticas lo antes posible.
Verifique si sus computadoras tienen la última actualización de Microsoft
Lansweeper es una solución de software para la gestión de los activos de software, el inventario de la red, inventario de software, entre otras funcionalidades, además de ser una herramienta útil para la auditoría de licencias de software.
Con Lansweeper podrá verificar si las computadoras cuentan con los parches de Microsoft. Use el Informe de Auditoría de Lansweeper para verificar que los activos en su red cuentan con las actualizaciones de Microsoft. El Informe está codificado por colores para ofrecerle una descripción rápida y sencilla de qué activos están actualizados y cuáles aún deben ser parchados.
También puede usar el Informe de Auditoría de Lansweeper para SQL Compact para encontrar todas las instalaciones de SQL Compact. Esto le ayudará para planear la migración de aquellas versiones que Microsoft ya no soporta, como SQL Compact 4.0 que hoy finalizó su ciclo de vida.
Es recomendable implementar las actualizaciones previo análisis de impacto para no afectar la estabilidad de los sistemas.
Con potentes funciones y toneladas de mejoras, ahora es un buen momento para comenzar una prueba gratuita de Lansweeper para explorar su red y obtener rápidamente información de los dispositivos de la red.
Simplifique el proceso de aplicación de parches.
Lo más probable es que sus parches no sigan el ritmo de los cambios y las vulnerabilidades descubiertas. Si bien esto puede parecer abrumador para cientos de dispositivos en su organización, Avast Business Patch Management simplifica y automatiza el proceso de aplicación de parches para ahorrar tiempo y dinero. Le ayuda con unos pocos clics.
Avast Business Patch Management es compatible con uno de los catálogos de parches más grandes del mercado, incluidas aplicaciones de terceros (como Adobe, Java y muchos navegadores de Internet).
¿Está listo para automatizar su proceso de parcheo? ¡Empiece hoy mismo con una prueba de 30 días de Avast Business Patch Management!