Las actualizaciones del martes de parches de junio se centran en Windows y Office

Jun 25, 2023

Por Greg Lambert, colaborador de Computerworld |

Greg Lambert evalúa los riesgos para las aplicaciones y entornos existentes en el ciclo Patch Tuesday de cada mes.

Microsoft lanzó 73 actualizaciones para sus plataformas Windows, Office y Visual Studio el martes de parches, y muchas de ellas abordan vulnerabilidades de seguridad centrales, pero no urgentes. Se trata de un bienvenido respiro de los seis meses anteriores de urgentes días cero y revelaciones públicas. Con eso en mente, el equipo de pruebas de preparación sugiere centrarse en los procesos de impresión y copia de seguridad/recuperación para asegurarse de que no se vean afectados por este ciclo de actualización.

Por primera vez, vemos un proveedor externo (que no es Adobe) agregado a una versión del martes de parches, con tres actualizaciones menores de complementos para Visual Studio para AutoDesk. Espere ver más proveedores de este tipo agregados a las actualizaciones de Microsoft en un futuro próximo. El equipo de Readiness ha creado una infografía útil que describe los riesgos asociados con cada una de las actualizaciones.

Cada mes, Microsoft incluye una lista de problemas conocidos relacionados con el sistema operativo y las plataformas en el ciclo de actualización actual.

En la actualidad, no tenemos información sobre un cronograma de actualización anticipada o fuera de los límites de Microsoft tanto para el servidor 20222/VMWare como para los problemas de la interfaz de usuario de terceros. Estos problemas son graves, por lo que esperamos una respuesta de Microsoft pronto.

Las siguientes vulnerabilidades y exposiciones comunes (CVE) se revisaron recientemente en la Guía de actualización de seguridad de Microsoft:

Microsoft publicó estas mitigaciones relacionadas con vulnerabilidades para el lanzamiento de este mes:

Cada mes, el equipo de Readiness analiza las últimas actualizaciones del martes de parches para desarrollar una guía de prueba detallada y práctica. Esta guía se basa en la evaluación de una gran cartera de aplicaciones y un análisis detallado de los parches de Microsoft y su impacto potencial en las plataformas Windows y las instalaciones de aplicaciones.

Dada la gran cantidad de cambios a nivel de sistema incluidos en este ciclo, los escenarios de prueba se dividen en perfiles estándar y de alto riesgo.

Al igual que los principales cambios de seguridad relacionados con la forma en que se manejan las consultas SQL en los sistemas de escritorio, Microsoft ha realizado una actualización fundamental de cómo se manejan ciertas API de renderizado con un nuevo conjunto de restricciones de seguridad. Este es un requisito clave para separar las solicitudes del controlador de impresora del modo de usuario y del kernel. Estas no son nuevas API ni nuevas funciones, sino un refuerzo de las rutinas de devolución de llamadas de API existentes. Este es un gran cambio y requerirá un régimen de prueba completo de la impresora, que incluye:

Los siguientes cambios incluidos en la actualización de este mes no se consideran de alto riesgo de resultados inesperados y no incluyen cambios funcionales:

Microsoft ahora no permite las opciones BCD para evitar memoria baja y truncar memoria cuando Secureboot está activado. Además, Microsoft está bloqueando los cargadores de arranque que no se hayan actualizado con la actualización de mayo de 2023.

Nota: Sus opciones de recuperación estarán muy limitadas a menos que sus imágenes de recuperación también tengan aplicada esta actualización vital de mayo de 2023. Para este cambio de proceso de arranque específico, el equipo de preparación recomienda el siguiente régimen de prueba.

Actualice sus medios de recuperación tan pronto como se complete su régimen de pruebas.

Todos estos escenarios de prueba (tanto estándar como de alto riesgo) requerirán pruebas importantes a nivel de aplicación antes de la implementación general. Dada la naturaleza de los cambios incluidos en los parches de este mes, el equipo de preparación recomienda las siguientes pruebas antes de la implementación:

Las pruebas automatizadas ayudarán con estos escenarios (especialmente una plataforma de prueba que ofrece un "delta" o comparación entre compilaciones. Sin embargo, para aplicaciones de línea de negocio, lograr que el propietario de la aplicación (que realiza UAT) pruebe y apruebe los resultados es absolutamente esencial. .

Actualización del ciclo de vida de Windows

Esta sección contendrá cambios importantes en el servicio (y la mayoría de las actualizaciones de seguridad) para las plataformas de servidor y de escritorio de Windows.

Cada mes, dividimos el ciclo de actualización en familias de productos (según lo define Microsoft) con las siguientes agrupaciones básicas:

Microsoft lanzó cuatro actualizaciones de baja prioridad para Edge y se lanzaron 14 parches más para la plataforma Chromium (en la que se basa Edge). No hemos visto informes de revelaciones públicas o exploits. Dicho esto, hay varias correcciones de seguridad pendientes que no se han abordado ni publicado en su totalidad. Por lo tanto, es posible que veamos una actualización para el proyecto Chromium/Edge a finales de este mes. Agregue estas actualizaciones a su calendario de lanzamiento de parches estándar.

Este mes, Microsoft lanzó cuatro actualizaciones críticas y 33 parches considerados importantes para la plataforma Windows; cubren estos componentes clave:

Esta es una actualización moderada para la plataforma de escritorio y servidor de Windows y debe verse como un bienvenido descanso de los recientes exploits graves (tanto divulgados públicamente como explotados). Como se señaló en mayo y se incluyó en la guía de este mes, la atención debe centrarse en probar los procesos de respaldo y recuperación. Agregue esta actualización a su calendario de lanzamientos "Parchear ahora".

Microsoft ofrece una actualización crítica a su plataforma Office con un parche para el servidor SharePoint Enterprise. Las 11 actualizaciones restantes afectan a Microsoft Outlook, Excel y OneNote. Todas estas son vulnerabilidades de perfil relativamente bajo que podrían afectar a los usuarios de Mac más que a los de Windows. Agregue estas actualizaciones de Office a su programa de lanzamiento estándar.

Microsoft lanzó dos actualizaciones para Microsoft Exchange Server (CVE-2023-28310 y CVE-2023-32031), ambas consideradas importantes. Estas vulnerabilidades de seguridad requieren autenticación interna y tienen correcciones oficiales/confirmadas de Microsoft. No ha habido informes de exploits o revelaciones públicas para ninguno de los temas. Aunque actualizar Exchange Server es un poco complicado, puede agregar estas dos actualizaciones a su calendario de lanzamiento estándar para este mes.

Junio ​​ofrece una gran cantidad de parches para la plataforma de desarrollo de Microsoft, con una única actualización crítica para .NET, una saludable ración de 22 actualizaciones calificadas como importantes para Visual Studio, una actualización (de baja calificación) para una herramienta Sysinternals y una moderada (cómo ¡inusual!) actualice a versiones anteriores no compatibles de .NET. A primera vista, nuestro equipo pensó que sería una gran actualización con un gran perfil de prueba. Después de un poco de examen, esto es más bien un ejercicio de "higiene corporativa" para Microsoft con una limpieza de pequeños parches en sus herramientas de desarrollo principales.

Agregue estas actualizaciones a su calendario de lanzamiento estándar para desarrolladores.

Adobe Reader (tenemos invitado: AutoDesk)

No hay actualizaciones de Adobe para Reader o Acrobat este mes. Pero, por suerte (o mala suerte), tenemos otra "A" de la que preocuparnos. La introducción del soporte de Microsoft para CNA (Autoridad de Numeración CVE) externa en enero permitió incluir aplicaciones de terceros en las actualizaciones de Microsoft. Anteriormente, Microsoft solo incluía Adobe. Este mes cambia todo eso, con la introducción de tres CVE para AutoDesk.

Estas tres vulnerabilidades reportadas (CVE-2023-27911, CVE-2023-27910 y CVE-2023-27909), aunque desarrolladas por Autodesk, en realidad son complementos para una versión (anterior y no compatible) de Microsoft Visual Studio. Es por eso que estos tres números se incluyeron en el lanzamiento del martes de parches de este mes. Agregue estas actualizaciones a su calendario de lanzamiento de actualizaciones estándar de "terceros". Si antes no tenías uno, ahora sí.

Feliz parcheo.

Greg Lambert es un evangelista de Application Readiness, los especialistas en evaluación en línea y conversión de aplicaciones. Greg es cofundador de ChangeBASE y ahora director ejecutivo de Application Readiness, y tiene una experiencia considerable en la tecnología de empaquetado de aplicaciones y su implementación.

Copyright © 2023 IDG Communications, Inc.