Esta semana, Microsoft lanzó 61 actualizaciones de Patch Tuesday sin informes de divulgaciones públicas u otros días cero que afecten al ecosistema más grande (Windows, Office, .NET). Aunque hay tres paquetes actualizados a partir de febrero, son solo cambios informativos y no se requiere ninguna acción adicional. El equipo de Readiness ha elaborado esta útil infografía que describe los riesgos asociados con cada una de las actualizaciones de marzo. Problemas conocidos Cada mes, Microsoft publica un lista de problemas conocidos relacionados con el sistema operativo y las plataformas incluidas en el último ciclo de actualización; Para marzo, se informaron dos problemas menores: los dispositivos Windows que usan más de un monitor pueden experimentar problemas con los íconos del escritorio que se mueven inesperadamente entre monitores o ver otros problemas de alineación de íconos al intentar usar Copilot en Windows. Microsoft todavía está trabajando en el problema. Para Exchange Server, Microsoft publicó una nota de advertencia: después de instalar la última actualización de seguridad, ya no hay soporte para Oracle OutsideIn Technology (OIT) o OutsideInModule. Para obtener más información, consulte esta actualización del servicio. Febrero no fue un gran mes en cuanto a cómo Microsoft comunicó actualizaciones y revisiones. Dado que marzo fue un mes excepcionalmente ligero en cuanto a “problemas conocidos” informados para plataformas de escritorio y servidores, nuestro equipo no encontró problemas de documentación. ¡Buen trabajo Microsoft! Revisiones principales Este mes, Microsoft publicó las siguientes revisiones importantes de actualizaciones de funciones y seguridad anteriores, que incluyen: CVE-2024-2173, CVE-2024-2174 y CVE-2024-2176: Chromium: CVE-2024-2173 fuera de límites de acceso a la memoria en V8. Estas actualizaciones se relacionan con parches de seguridad recientes para el proyecto del navegador Chromium de Microsoft. No se requieren mas acciones. Mitigaciones y soluciones alternativas Microsoft lanzó estas mitigaciones relacionadas con vulnerabilidades para el ciclo de lanzamiento de este mes: CVE-2023-28746 Registro de muestreo de datos de archivos (RFDS). No estamos seguros de cómo clasificar esta actualización de Intel, ya que se relaciona con un problema de hardware con ciertos conjuntos de chips Intel. La mitigación de esta vulnerabilidad requiere una actualización de firmware y la correspondiente actualización de Windows habilita esta mitigación basada en firmware de terceros. Puede encontrar más información aquí. Cada mes, el equipo de Readiness analiza las últimas actualizaciones del martes de parches y proporciona orientación de prueba detallada y práctica. Esta guía se basa en la evaluación de una gran cartera de aplicaciones y un análisis detallado de los parches y su impacto potencial en las plataformas Windows y las instalaciones de aplicaciones. Para este ciclo de marzo, hemos agrupado las actualizaciones críticas y los esfuerzos de prueba requeridos en diferentes áreas funcionales que incluyen: Será necesario probar Microsoft Office Visio para dibujos más grandes. (Los dibujos CAD son buenos candidatos). Microsoft SharePoint requerirá pruebas para cargar archivos de más de 1 GB. Excel necesitará una prueba de los objetos incrustados OLE y todas las macros de hojas de datos vinculadas. Microsoft .NET y herramientas de desarrollo PowerShell: Get-StorageDiagnosticInfo se ha actualizado, así que verifique su DACL (Lista de control de acceso discrecional) para conocer la configuración «resultante» correcta (por ejemplo, tiene el propietario correcto). WindowsSe han actualizado las siguientes características principales de Microsoft, que incluyen: SQL OLE y ODBC: estas actualizaciones requerirán un ciclo de prueba completo de conexiones de bases de datos (DB) y comandos SQL. Le recomendamos ejecutar comandos SQL básicos y probar diferentes servidores SQL. Hyper-V: prueba que las máquinas virtuales (VM) se inician, apagan, pausan, reanudan y luego apagan la máquina. Impresión: Tanto las conexiones de impresora de la versión 4 (V4) como la V3 requerirán pruebas básicas. Telefonía y FAX: las API TAPI de Microsoft se han actualizado, así que recuerde probar sus servidores FAXPress. Controladores USB: se requerirá una prueba básica de los dispositivos USB con un «enchufe». entrar, copiar desde y hacia el USB y desconectar”. Archivos comprimidos: una actualización menor requerirá pruebas básicas de archivos .7z, far, tar, tar.gz. Una de las actualizaciones clave del sistema de archivos de Windows este mes es un cambio en la forma en que NTFS maneja los archivos de imágenes compuestas; Microsoft los describe como «una pequeña colección de archivos planos que incluyen uno o más archivos de región de datos y metadatos, uno o más archivos de ID de objeto y uno o más archivos de descripción del sistema de archivos». Como resultado de su «planitud», los CIM son más rápidos de construir, extraer y eliminar que los directorios sin formato equivalentes que contienen». Las pruebas básicas para esta actualización deben incluir la creación, el montaje y la exploración de objetos CIM. Las pruebas automatizadas ayudarán con estos escenarios ( especialmente una plataforma de prueba que ofrece un «delta» o comparación entre compilaciones). Sin embargo, para aplicaciones de línea de negocios, lograr que el propietario de la aplicación (que realiza UAT) pruebe y apruebe los resultados sigue siendo absolutamente esencial. Este mes, Microsoft hizo un importante Actualización (general) de los subsistemas Win32 y GDI con una recomendación para probar una parte importante de su cartera de aplicaciones. Actualización del ciclo de vida de Windows Esta sección contendrá cambios importantes en el servicio (y la mayoría de las actualizaciones de seguridad) para las plataformas de escritorio y servidor de Windows. 21H2 perderá el soporte activo en 3 meses (junio de 2024). El soporte de Microsoft .NET versión 7 finaliza en 2 meses (mayo de 2024). Cada mes, dividimos el ciclo de actualización en familias de productos (según lo definido por Microsoft) con los siguientes elementos básicos agrupaciones: Navegadores (Microsoft IE y Edge); Microsoft Windows (tanto de escritorio como de servidor); Oficina de Microsoft; Servidor Microsoft Exchange; Plataformas de desarrollo de Microsoft (NET Core, .NET Core y Chakra Core); Adobe (si llegas hasta aquí). NavegadoresMicrosoft ha lanzado tres actualizaciones menores para el proyecto de navegador basado en Chromium (Edge) este mes (CVE-2024-1283, CVE-2024-1284 y CVE-2024-1059) con las siguientes vulnerabilidades reportadas: CVE-2024-1060: Chromium: CVE-2024-1060 Úselo después de forma gratuita en Canvas. CVE-2024-1077: Chromium: CVE-2024-1077 Úselo después de forma gratuita en la red. CVE-2024-21399: Vulnerabilidad de ejecución remota de código en Microsoft Edge (basado en Chromium). Además de estas versiones estándar, Microsoft publicó estas adiciones “tardías” con su actualización mensual del navegador: CVE-2024-26163: Vulnerabilidad de omisión de característica de seguridad de Microsoft Edge (basada en Chromium) CVE-2024-26167: Vulnerabilidad de suplantación de identidad de Microsoft Edge para Android CVE -2024-26246: Vulnerabilidad de omisión de característica de seguridad de Microsoft Edge (basada en Chromium) Todas estas actualizaciones deberían tener un impacto insignificante en las aplicaciones que se integran y operan en Chromium. Agregue estas actualizaciones a su calendario de lanzamiento de parches estándar. Windows En febrero, Microsoft lanzó (otras) dos actualizaciones críticas (CVE-2024-21407 y CVE-2024-21408) y 39 parches calificados como importantes para la plataforma Windows que cubren los siguientes componentes clave : Proveedor de Windows SQL y OLE DB Windows Hyper-V Kernel de Windows Este mes no vemos ningún informe de vulnerabilidades o exploits reportados públicamente, y si tiene un Windows 10/11 moderno, todas estas vulnerabilidades de seguridad reportadas son difíciles explotar. Agregue esta actualización a su calendario de lanzamiento estándar de Windows. Microsoft Office Siguiendo una tendencia reciente, Microsoft lanzó solo tres actualizaciones para la plataforma Microsoft Office para marzo (CVE-2024-21448, CVE-2024-21426 y CVE-2024-26199). Los tres parches tienen un bajo potencial de explotación y deben agregarse a su programa de actualización regular de Office. Microsoft Exchange Server Microsoft (nuevamente) ha lanzado una única actualización para Exchange Server con CVE-2024-26198. Esta actualización solo afecta a Exchange Server 2016 y 2019; Microsoft describe la vulnerabilidad como “un ataque que requiere que se coloque un archivo especialmente diseñado en un directorio en línea o en una ubicación de red local. Cuando una víctima ejecuta este archivo, carga la DLL maliciosa”. Microsoft califica esta actualización como importante y no hay informes de divulgación pública o vulnerabilidades. Agréguelo a su programa habitual de actualización del servidor. Para los administradores de Exchange Server, creemos que cada servidor actualizado requerirá un reinicio. Plataformas de desarrollo de Microsoft Microsoft lanzó tres actualizaciones (CVE-2024-26190, CVE-2024-26165 y CVE-2024-21392 para .NET (versiones 7 y 8) y Microsoft Visual Studio 2022. Las tres actualizaciones son de bajo impacto y pueden incluirse en los esfuerzos regulares de lanzamiento de parches de los desarrolladores. Adobe Reader (si llega hasta aquí) No hay actualizaciones de Adobe este mes. Aparte de la actualización del firmware de Intel (CVE-2023- 28746), no tenemos ningún proveedor externo/ISV para agregar al calendario de actualizaciones de este mes. Copyright © 2024 IDG Communications, Inc.

Source link