Catorce vulnerabilidades críticas en Internet Explorer fueron algunos de los objetivos del lote mensual de parches de seguridad de Microsoft publicados el martes. En total, se fijan 46 vulnerabilidades a través de productos, incluyendo Windows, Internet Explorer y Office.
Computerworld | Lucian Constantin
Los parches se organizaron en 13 boletines de seguridad, tres marcados como críticos y diez como importantes. Los boletines críticos, MS15-043, MS15-044 y MS15-045, cubren vulnerabilidades de ejecución remota de códigos en Windows Explorer, Office, Microsoft .NET Framework, Microsoft Lync y Silverlight.
La prioridad para los administradores debe ser MS15-043, que soluciona 22 vulnerabilidades en Internet Explorer, de los cuales 14 se consideran críticas, dijo Wolfgang Kandek, el director de tecnología de la firma de seguridad Qualys, a través de correo electrónico. Las vulnerabilidades críticas en IE permite a los atacantes ejecutar un código arbitrario en las máquinas cuando los usuarios visitan sus páginas Web maliciosas y los atacantes tienen una variedad de técnicas en su arsenal para lograr esto, dijo.
Sin embargo, no todas las vulnerabilidades de ejecución remota de códigos terminan siendo explotados por los delincuentes. El año pasado, sólo el cinco por ciento de tales vulnerabilidades fueron blanco de ataques reales.
“La dificultad es predecir cual 5 por ciento”, dijo Kandek. “Creo que tiene sentido mirar al pasado para ver lo que fue atacado y qué vulnerabilidades están cubiertas en explotar paquetes y prepararse acordemente.”
Lo siguiente en la lista de prioridades debe ser MS15-044 porque repara dos vulnerabilidades en una biblioteca de análisis de fuente utilizado por muchos productos de Microsoft. Los atacantes podrían explotar estas fallas con la incrustación de una fuente especialmente diseñada en documentos o páginas Web.
“Corrijan rápidamente, en menos de dos semanas si se puede,” dijo Kandek.
Una razón para que los criminales sean más rápidos que nunca en adoptar hazañas para los programas populares, especialmente los más fiables que pueden utilizar a escala. Pero las empresas también deben empezar a acostumbrarse a patchear a un ritmo acelerado porque Microsoft planea impulsar las actualizaciones para Windows 10 cuando estén listas en lugar de en un horario fijo.
Las empresas tendrán la opción de retrasar esas versiones de algunos sistemas mediante el uso de un nuevo servicio llamado Actualización Windows para Empresas. Sin embargo, una vez que un parche de seguridad llegue a los despliegues de consumo, las vulnerabilidades que fija son esencialmente reveladas.
Se ha sabido durante mucho tiempo que los atacantes pueden revertir parches ingenieros para averiguar donde los están los errores y cómo explotarlos, por lo que las empresas no pueden tener el lujo de retrasar parches durante demasiado tiempo.