Artículo: The December 2016 Security Update Review –

Parches de seguridad de este mes de diciembre de 2016.

http://blog.trendmicro.com/december-2016-security-update-review/

Traducción Google:

Baja el ponche de huevo, de nuevo lejos de sus compras navideñas y la poda de árboles, y unirse a nosotros en echar un vistazo a los parches de seguridad publicados por Adobe y Microsoft para el mes de diciembre de 2016.

Adobe Parches para diciembre el año 2016

Para este mes, Adobe lanzó nueve parches de seguridad que abordan cuestiones en Flash, Robohelp, ColdFusion Builder, InDesign, Convertidor DNG, Adobe Digital Editions, animador, Experiencia Manager y experiencia Representante Formas. Obviamente, la mayoría de la gente se centrará en los 17 CVEs corregidos por la actualización para Flash. Adobe informa CVE-2016 a 7.892 – resuelve esta revisión – se ha visto en la naturaleza y está siendo dirigida contra los usuarios que ejecutan Internet Explorer (32 bits) en Windows. Este es el único boletín de este mes de Adobe aparece como Prioridad 1 – calificación más alta de Adobe. También debemos señalar nueve de los 17 CVEs abordados en el flash llegaron a través del programa ZDI. Uno de los CVEs de las ediciones digitales también actualizaciones llegaron a través de ZDI.

Curiosamente, Adobe no ha publicado una actualización de Acrobat desde octubre . Tomando un pico en los próximos ZDI de avisos , que probablemente indica que están trabajando en una gran actualización en los próximos meses.

Parches de Microsoft para diciembre el año 2016

Esta temporada de vacaciones, la gente de Redmond lanzó 11 nuevos boletines de direccionamiento 47 CVEs únicos en Internet Explorer, Edge, Windows, Office y .NET Framework. Cinco de estos boletines se considera crítica con los otros seis calificado como importante. Ninguno está listado como estar bajo ataque activo, aunque algunas de las ECV son públicas. Microsoft también incluyó su boletín para Adobe Flash, con lo que el total de los boletines lanzado este año a un récord de 155. Este registro es probable que permanecerá para siempre, ya que Microsoft ha anunciado su Guía de actualizaciones de seguridad  será la sustitución de los boletines de seguridad a partir de febrero de 2017. Hora dirá si este movimiento hace que sea más fácil o más difícil para los administradores para obtener información necesaria acerca de las actualizaciones de seguridad. En cualquier caso, continúa la tendencia de Microsoft de eliminar u ocultar información sobre sus parches de seguridad. Es de esperar que esta tendencia afecta a los atacantes más que las del mantenimiento del sistema.

Si usted tiene que dar prioridad a su prueba, se centran en los navegadores – Edge e Internet Explorer – y la actualización de Office. Estas aplicaciones tienen una amplia base de usuarios y están dirigidos de forma rutinaria. Al igual que en el mes pasado, muchos de los CVEs parcheados en Edge y el IE recibió un índice de calificación Exploit (XI) de 1 para ambos navegadores. Esta es la calificación de Microsoft que indica la explotación es más probable para estas cuestiones. Aunque Microsoft ofrece muchos de los de seguridad mejoras en Edge, algo de código compartido sigue siendo claramente.

Otros errores críticos parcheado este mes incluyen un parche para la Oficina suite. Esto es inusual, ya que la mayoría de los parches de Office aparecen como importantes por los usuarios que necesitan para hacer clic a través de cuadros de diálogo para abrir archivos maliciosos. Tal vez CVE-2016-7298 – CVE crítico solitario – logra evadir estos cuadros de diálogo.

La actualización para GDI también aparece como crítico. Gráficos errores siempre son preocupantes como simplemente ver una imagen puede desencadenar la vulnerabilidad. En esencia, lo que hace cada sitio web que muestra anuncios de un huésped potencial para un anuncio malicioso explotar el fallo. Piense en eso por un segundo. La última actualización es crítica para diciembre se dirige a un error en Ventanas Uniscribe . Similar a GDI, visitar una página web maliciosa – o ver un anuncio malicioso en una página web legítima – pueden desencadenar la vulnerabilidad.

Del resto de boletines importantes, los que está para Kernel Mode Secure y el instalador de Windows tanto se destacan como interesante. Para el tema de seguro de modo de núcleo, los atacantes podrían usar esto para violar los niveles de confianza virtuales (VTL) y escalar privilegios en un sistema. El error de instalación es también una elevación local de privilegios (EOP). No es difícil imaginar que los atacantes que unen este error al instalar el software de otro modo legítimo para obtener acceso a un sistema. Esto podría ser un error muy impactante, sobre todo desde que Microsoft incluye en la lista con un XI 1. El boletín para los controladores en modo kernel también se traduce en una EOP, pero la tasa más baja en la escala XI.

Las versiones de Kernel , conductor CLFS y .NET Framework están listados como la divulgación de información, pero eso no quiere decir que se deben ignorar. La obtención de información se da a conocer a través de estos tipos de errores es a menudo el primer paso de una cadena de explotar.

Por último, Microsoft dio a conocer su versión de la citada flash de actualización para completar su cosecha de cambios para diciembre. No hay nuevos avisos fueron liberados este mes. 

Actualizaciones móvil 

Seríamos negligentes si no mencionamos las versiones de iOS y Android recientemente publicados. El 10.2 actualización para iOS se dirige a 12 CVEs documentadas, incluso un ingenioso truco para acceder a fotos y contactos en un iPhone bloqueado. La gente de Google liberado actualizaciones para Android en tanto 1 de diciembre y 5 º . Los parches combinados frente a 69 el total de los CVE – 11 de los cuales se considera crítica. En particular, los parches solucionan el » sucio vaca vulnerabilidad», así como dos bichos – CVE-2.016 a 5.196 y CVE-2016-5197-dan a conocer a través de nuestra reciente Pwn2Own móvil competencia. 

Mirando hacia el futuro 

El próximo martes de parches cae el 10 de enero, y estaremos de vuelta con más detalles a continuación. Síguenos en Twitter para ver mejor y más nuevo que viene del programa ZDI

The following two tabs change content below.
Consultor freelance de Ciberseguridad. Técnico Superior Informático en Desarrollo de Aplicaciones Multiplataforma y Perito Judicial Informático Forense inscrito con el nº 120 en la Asociación Profesional de Peritos de las Nuevas Tecnologías (PETEC). **Profesional del campo de la Informática desde el año 1988, desarrollando diversos perfiles ocupacionales. Desarrollador Web, Programador de soluciones a medida en diversos lenguajes: Clipper, C++, Visual Basic y Visual Basic .NET. **En el campo de la pericial informática: * Especializado en la identificación, extracción y análisis de evidencias digitales en dispositivos de almacenamiento físicos. * Autentificación y Verificación de correos electrónicos. * Suplantación de identidad y verificación de mensajes en redes sociales. * Recuperación de datos de dispositivos de almacenamiento físicos. * Peritación informática sobre el uso de aplicaciones informáticas durante la actividad laboral. * Fraudes informáticos y phising. ............ Radioaficionado desde hace más de 30 años y fotógrafo nocturno, disfrutando de la noche admirando el patrimonio nacional con otros ojos.