Parches de seguridad de este mes de diciembre de 2016.
http://blog.trendmicro.com/december-2016-security-update-review/
Traducción Google:
Baja el ponche de huevo, de nuevo lejos de sus compras navideñas y la poda de árboles, y unirse a nosotros en echar un vistazo a los parches de seguridad publicados por Adobe y Microsoft para el mes de diciembre de 2016.
Adobe Parches para diciembre el año 2016
Para este mes, Adobe lanzó nueve parches de seguridad que abordan cuestiones en Flash, Robohelp, ColdFusion Builder, InDesign, Convertidor DNG, Adobe Digital Editions, animador, Experiencia Manager y experiencia Representante Formas. Obviamente, la mayoría de la gente se centrará en los 17 CVEs corregidos por la actualización para Flash. Adobe informa CVE-2016 a 7.892 – resuelve esta revisión – se ha visto en la naturaleza y está siendo dirigida contra los usuarios que ejecutan Internet Explorer (32 bits) en Windows. Este es el único boletín de este mes de Adobe aparece como Prioridad 1 – calificación más alta de Adobe. También debemos señalar nueve de los 17 CVEs abordados en el flash llegaron a través del programa ZDI. Uno de los CVEs de las ediciones digitales también actualizaciones llegaron a través de ZDI.
Curiosamente, Adobe no ha publicado una actualización de Acrobat desde octubre . Tomando un pico en los próximos ZDI de avisos , que probablemente indica que están trabajando en una gran actualización en los próximos meses.
Parches de Microsoft para diciembre el año 2016
Esta temporada de vacaciones, la gente de Redmond lanzó 11 nuevos boletines de direccionamiento 47 CVEs únicos en Internet Explorer, Edge, Windows, Office y .NET Framework. Cinco de estos boletines se considera crítica con los otros seis calificado como importante. Ninguno está listado como estar bajo ataque activo, aunque algunas de las ECV son públicas. Microsoft también incluyó su boletín para Adobe Flash, con lo que el total de los boletines lanzado este año a un récord de 155. Este registro es probable que permanecerá para siempre, ya que Microsoft ha anunciado su Guía de actualizaciones de seguridad será la sustitución de los boletines de seguridad a partir de febrero de 2017. Hora dirá si este movimiento hace que sea más fácil o más difícil para los administradores para obtener información necesaria acerca de las actualizaciones de seguridad. En cualquier caso, continúa la tendencia de Microsoft de eliminar u ocultar información sobre sus parches de seguridad. Es de esperar que esta tendencia afecta a los atacantes más que las del mantenimiento del sistema.
Si usted tiene que dar prioridad a su prueba, se centran en los navegadores – Edge e Internet Explorer – y la actualización de Office. Estas aplicaciones tienen una amplia base de usuarios y están dirigidos de forma rutinaria. Al igual que en el mes pasado, muchos de los CVEs parcheados en Edge y el IE recibió un índice de calificación Exploit (XI) de 1 para ambos navegadores. Esta es la calificación de Microsoft que indica la explotación es más probable para estas cuestiones. Aunque Microsoft ofrece muchos de los de seguridad mejoras en Edge, algo de código compartido sigue siendo claramente.
Otros errores críticos parcheado este mes incluyen un parche para la Oficina suite. Esto es inusual, ya que la mayoría de los parches de Office aparecen como importantes por los usuarios que necesitan para hacer clic a través de cuadros de diálogo para abrir archivos maliciosos. Tal vez CVE-2016-7298 – CVE crítico solitario – logra evadir estos cuadros de diálogo.
La actualización para GDI también aparece como crítico. Gráficos errores siempre son preocupantes como simplemente ver una imagen puede desencadenar la vulnerabilidad. En esencia, lo que hace cada sitio web que muestra anuncios de un huésped potencial para un anuncio malicioso explotar el fallo. Piense en eso por un segundo. La última actualización es crítica para diciembre se dirige a un error en Ventanas Uniscribe . Similar a GDI, visitar una página web maliciosa – o ver un anuncio malicioso en una página web legítima – pueden desencadenar la vulnerabilidad.
Del resto de boletines importantes, los que está para Kernel Mode Secure y el instalador de Windows tanto se destacan como interesante. Para el tema de seguro de modo de núcleo, los atacantes podrían usar esto para violar los niveles de confianza virtuales (VTL) y escalar privilegios en un sistema. El error de instalación es también una elevación local de privilegios (EOP). No es difícil imaginar que los atacantes que unen este error al instalar el software de otro modo legítimo para obtener acceso a un sistema. Esto podría ser un error muy impactante, sobre todo desde que Microsoft incluye en la lista con un XI 1. El boletín para los controladores en modo kernel también se traduce en una EOP, pero la tasa más baja en la escala XI.
Las versiones de Kernel , conductor CLFS y .NET Framework están listados como la divulgación de información, pero eso no quiere decir que se deben ignorar. La obtención de información se da a conocer a través de estos tipos de errores es a menudo el primer paso de una cadena de explotar.
Por último, Microsoft dio a conocer su versión de la citada flash de actualización para completar su cosecha de cambios para diciembre. No hay nuevos avisos fueron liberados este mes.
Actualizaciones móvil
Seríamos negligentes si no mencionamos las versiones de iOS y Android recientemente publicados. El 10.2 actualización para iOS se dirige a 12 CVEs documentadas, incluso un ingenioso truco para acceder a fotos y contactos en un iPhone bloqueado. La gente de Google liberado actualizaciones para Android en tanto 1 de diciembre y 5 º . Los parches combinados frente a 69 el total de los CVE – 11 de los cuales se considera crítica. En particular, los parches solucionan el » sucio vaca vulnerabilidad», así como dos bichos – CVE-2.016 a 5.196 y CVE-2016-5197-dan a conocer a través de nuestra reciente Pwn2Own móvil competencia.
Mirando hacia el futuro
El próximo martes de parches cae el 10 de enero, y estaremos de vuelta con más detalles a continuación. Síguenos en Twitter para ver mejor y más nuevo que viene del programa ZDI
Latest posts by Jose Miguel (see all)
- Artículo: Guía completa de seguridad en el uso de redes Wi-Fi en entornos empresariales y públicos. - 23 septiembre, 2024
- Artículo: Cómo reaccionar ante un ataque de Phishing: Guía para Usuarios Empresariales - 20 septiembre, 2024
- Artículo: Guía básica para la gestión de contraseñas y usuarios en navegadores populares. - 20 septiembre, 2024
- Artículo: La importancia de las copias de seguridad en la ámbito empresarial: Guía Práctica. - 18 septiembre, 2024
- Artículo: Mejorando la ciberseguridad en el entorno laboral: Guía práctica para Empleados. - 16 septiembre, 2024