Esta semana, Microsoft lanzó 61 actualizaciones de Patch Tuesday sin informes de divulgaciones públicas u otros días cero que afecten al ecosistema más grande (Windows, Office, .NET). Aunque hay tres paquetes actualizados a partir de febrero, son solo cambios informativos y no se requiere ninguna acción adicional.
El equipo en Preparación ha elaborado esto infografía útil describiendo los riesgos asociados con cada una de las actualizaciones de marzo.
Problemas conocidos
Cada mes, Microsoft publica una lista de problemas conocidos relacionados con el sistema operativo y las plataformas incluidas en el último ciclo de actualización; Para marzo, se informan dos problemas menores:
- Los dispositivos Windows que usan más de un monitor pueden experimentar problemas con los íconos del escritorio que se mueven inesperadamente entre monitores o ver otros problemas de alineación de íconos al intentar usar Copilot en Windows. Microsoft todavía está trabajando en el problema.
- Para Exchange Server, Microsoft publicó una nota de advertencia: después de instalar la última actualización de seguridad, ya no hay soporte para Oracle OutsideIn Technology (OIT) o OutsideInModule. Para más información, ver esta actualización de servicio.
Febrero no fue un gran mes en cuanto a cómo Microsoft comunicó actualizaciones y revisiones. Dado que marzo fue un mes excepcionalmente ligero en cuanto a “problemas conocidos” informados para plataformas de escritorio y servidores, nuestro equipo no encontró problemas de documentación. ¡Buen trabajo Microsoft!
Revisiones importantes
Este mes, Microsoft publicó las siguientes revisiones importantes de actualizaciones de funciones y seguridad anteriores, que incluyen:
- CVE-2024-2173, CVE-2024-2174y CVE-2024-2176: Chromium: CVE-2024-2173 Acceso a memoria fuera de límites en V8. Estas actualizaciones se relacionan con parches de seguridad recientes para el proyecto del navegador Chromium de Microsoft. No se requieren mas acciones.
Mitigaciones y soluciones
Microsoft lanzó estas mitigaciones relacionadas con vulnerabilidades para el ciclo de lanzamiento de este mes:
- CVE-2023-28746 Registro de muestreo de datos de archivos (RFDS). No estamos seguros de cómo clasificar esta actualización de Intel, ya que se relaciona con un problema de hardware con ciertos conjuntos de chips Intel. La mitigación de esta vulnerabilidad requiere una actualización de firmware y la correspondiente actualización de Windows habilita esta mitigación basada en firmware de terceros. Más información se puede encontrar aquí.
Cada mes, el equipo de Readiness analiza las últimas actualizaciones del martes de parches y proporciona orientación de prueba detallada y práctica. Esta guía se basa en la evaluación de una gran cartera de aplicaciones y un análisis detallado de los parches y su impacto potencial en las plataformas Windows y las instalaciones de aplicaciones.
Para este ciclo de marzo, hemos agrupado las actualizaciones críticas y los esfuerzos de prueba requeridos en diferentes áreas funcionales que incluyen:
oficina de microsoft
- Será necesario probar Visio para dibujos más grandes. (Los dibujos CAD son buenos candidatos).
- Microsoft SharePoint requerirá pruebas para la carga de archivos de más de 1 GB.
- Excel necesitará una prueba de los objetos incrustados OLE y todas las macros de hojas de datos vinculadas.
Microsoft .NET y herramientas de desarrollo
- PowerShell: Get-StorageDiagnosticInfo se ha actualizado, así que verifique su DACL (Lista de control de acceso discrecional) para obtener la configuración «resultante» correcta (por ejemplo, tiene el propietario correcto).
ventanas
Se han actualizado las siguientes características principales de Microsoft, que incluyen:
- SQL OLE y ODBC: estas actualizaciones requerirán un ciclo de prueba completo de conexiones de bases de datos (DB) y comandos SQL. Le recomendamos ejecutar comandos SQL básicos y probar diferentes servidores SQL.
- Hyper-V: prueba que las máquinas virtuales (VM) se inician, apagan, pausan, reanudan y luego apagan la máquina.
- Impresión: Ambas versiones 4 (V4) y V3 Las conexiones de la impresora requerirán pruebas básicas.
- Telefonía y FAX: Microsoft PERO Las API se han actualizado, así que recuerde probar sus servidores FAXPress
- Controladores USB: Se requerirá una prueba básica de los dispositivos USB con un ciclo de «conectar, copiar desde y hacia el USB y desconectar».
- Archivos comprimidos: una actualización menor requerirá pruebas básicas de archivos .7z, far, tar, tar.gz.
Una de las actualizaciones clave del sistema de archivos de Windows este mes es un cambio en la forma NTFS maneja archivos de imágenes compuestas; Microsoft los describe como «una pequeña colección de archivos planos que incluyen uno o más archivos de región de datos y metadatos, uno o más archivos de ID de objeto y uno o más archivos de descripción del sistema de archivos». Como resultado de su «planitud» CIMs son más rápidos de construir, extraer y eliminar que los directorios sin formato equivalentes que contienen».
Las pruebas básicas para esta actualización deben incluir la creación, el montaje y la exploración de objetos CIM.
Las pruebas automatizadas ayudarán en estos escenarios (especialmente una plataforma de pruebas que ofrezca un «delta» o comparación entre compilaciones). Sin embargo, para aplicaciones de línea de negocio, conseguir que el propietario de la aplicación (haciendo UAT) para probar y aprobar los resultados sigue siendo absolutamente esencial.
Este mes, Microsoft realizó una actualización importante (general) de los subsistemas Win32 y GDI con la recomendación de probar una parte importante de su cartera de aplicaciones.
Actualización del ciclo de vida de Windows
Esta sección contendrá cambios importantes en el servicio (y la mayoría de las actualizaciones de seguridad) para las plataformas de servidor y de escritorio de Windows.
- Windows 10 21H2 perderá el soporte activo en 3 meses (junio de 2024).
- El soporte de Microsoft .NET Versión 7 finaliza en 2 meses (mayo de 2024).
Cada mes, dividimos el ciclo de actualización en familias de productos (según lo define Microsoft) con las siguientes agrupaciones básicas:
- Navegadores (Microsoft IE y Edge);
- Microsoft Windows (tanto de escritorio como de servidor);
- Oficina de Microsoft;
- Servidor Microsoft Exchange;
- Plataformas de desarrollo de Microsoft (NET Core, .NET Core y Chakra Core);
- Adobe (si llegas hasta aquí).
Navegadores
Microsoft ha lanzado tres actualizaciones menores para el proyecto del navegador basado en Chromium (Edge) este mes (CVE-2024-1283, CVE-2024-1284 y CVE-2024-1059) con las siguientes vulnerabilidades reportadas:
- CVE-2024-1060 : Cromo: CVE-2024-1060 Úselo después de forma gratuita en Canvas.
- CVE-2024-1077 : Cromo: CVE-2024-1077 Úselo después de forma gratuita en la red.
- CVE-2024-21399 : Vulnerabilidad de ejecución remota de código de Microsoft Edge (basado en Chromium).
Además de estas versiones estándar, Microsoft publicó estas adiciones «tardías» con su actualización mensual del navegador:
- CVE-2024-26163 : Vulnerabilidad de omisión de característica de seguridad de Microsoft Edge (basada en Chromium)
- CVE-2024-26167: Microsoft Edge para la vulnerabilidad de suplantación de identidad de Android
- CVE-2024-26246: Vulnerabilidad de omisión de característica de seguridad de Microsoft Edge (basada en Chromium)
Todas estas actualizaciones deberían tener un impacto insignificante en las aplicaciones que se integran y operan en Chromium. Agregue estas actualizaciones a su calendario de lanzamiento de parches estándar.
ventanas
En febrero, Microsoft lanzó (otras) dos actualizaciones críticas (CVE-2024-21407 y CVE-2024-21408) y 39 parches calificados como importantes para la plataforma Windows que cubren los siguientes componentes clave:
- Proveedor Windows SQL y OLE DB
- Windows Hyper-V
- Núcleo de Windows
Este mes no vemos ningún informe de vulnerabilidades o exploits reportados públicamente, y si tiene un Windows 10/11 moderno, todas estas vulnerabilidades de seguridad reportadas son difíciles de explotar. Agregue esta actualización a su calendario de lanzamiento estándar de Windows.
oficina de microsoft
Siguiendo una tendencia reciente, Microsoft lanzó solo tres actualizaciones de la plataforma Microsoft Office para marzo (CVE-2024-21448, CVE-2024-21426 y CVE-2024-26199). Los tres parches tienen un bajo potencial de explotación y deben agregarse a su programa regular de actualización de Office.
Servidor Microsoft Exchange
Microsoft ha lanzado (nuevamente) una única actualización para Exchange Server con CVE-2024-26198. Esta actualización solo afecta a Exchange Server 2016 y 2019; Microsoft describe la vulnerabilidad como “un ataque que requiere que se coloque un archivo especialmente diseñado en un directorio en línea o en una ubicación de red local. Cuando una víctima ejecuta este archivo, carga la DLL maliciosa”.
Microsoft califica esta actualización como importante y no hay informes de divulgación pública o vulnerabilidades. Agréguelo a su programa habitual de actualización del servidor. Para los administradores de Exchange Server, creemos que cada servidor actualizado requerirá un reinicio.
plataformas de desarrollo de microsoft
Microsoft lanzó tres actualizaciones (CVE-2024-26190, CVE-2024-26165 y CVE-2024-21392 a .NET (versiones 7 y 8) y Microsoft Visual Studio 2022. Las tres actualizaciones son de bajo impacto y pueden incluirse en los esfuerzos regulares de lanzamiento de parches de los desarrolladores.
Adobe Reader (si llegas hasta aquí)
No hay actualizaciones de Adobe este mes. Aparte de la actualización del firmware Intel (CVE-2023-28746), no tenemos ningún proveedor externo/ISV para agregar al calendario de actualizaciones de este mes.
Copyright © 2024 IDG Communications, Inc.