Tecnologia4You
El primer martes de parches del año de Microsoft aborda 98 vulnerabilidades de seguridad, con 10 clasificadas como críticas para Windows. Una vulnerabilidad ( CVE-2023-21674 ) en una sección central del código de Windows es un día cero que requiere atención inmediata. Y Adobe ha regresado con una actualización crítica, junto con algunos parches de bajo perfil para el navegador Microsoft Edge.
Hemos agregado las actualizaciones de Windows y Adobe a nuestra lista «Patch Now», reconociendo que las implementaciones de parches de este mes requerirán un esfuerzo significativo de prueba e ingeniería. El equipo de Application Readiness ha proporcionado una infografía útil que describe los riesgos asociados con cada una de las actualizaciones para este ciclo de actualización de enero.
Cada mes, Microsoft incluye una lista de problemas conocidos relacionados con el sistema operativo y las plataformas que se incluyen en este ciclo de actualización.
Todavía hay bastantes problemas conocidos pendientes para Windows 7 , Windows 8.x y Windows Server 2008 , pero al igual que con estos sistemas operativos que envejecen rápidamente (y no son muy seguros).
Microsoft no ha publicado ninguna revisión importante este mes. Hubo varias actualizaciones de parches anteriores, pero solo con fines de documentación. No se requieren otras acciones aquí.
Microsoft no ha publicado mitigaciones o soluciones que sean específicas para el ciclo de lanzamiento del martes de parches de enero de este mes.
Cada mes, el equipo de preparación analiza las últimas actualizaciones de Patch Tuesday de Microsoft y brinda orientación de prueba detallada y procesable. Esta guía se basa en la evaluación de una gran cartera de aplicaciones y un análisis detallado de los parches de Microsoft y su impacto potencial en las plataformas de Windows y las instalaciones de aplicaciones.
Dada la gran cantidad de cambios incluidos en este ciclo de parches de enero, he dividido los escenarios de prueba en grupos de alto riesgo y riesgo estándar:
Alto riesgo : esta actualización de enero de Microsoft ofrece una cantidad significativa de cambios de alto riesgo en el kernel del sistema y los subsistemas de impresión dentro de Windows. Desafortunadamente, estos cambios incluyen archivos críticos del sistema como win32base.sys, sqlsrv32.dll y win32k.sys, lo que amplía aún más el perfil de prueba para este ciclo de parches.
Como todos los cambios de alto riesgo afectan al subsistema de impresión de Microsoft Windows (aunque no hemos visto ningún cambio de funcionalidad publicado), recomendamos encarecidamente las siguientes pruebas centradas en la impresión:
Todos estos escenarios requerirán pruebas significativas a nivel de aplicación antes de una implementación general de la actualización de este mes. Además de estos requisitos de prueba específicos, sugerimos una prueba general de las siguientes funciones de impresión:
De manera más general, dada la naturaleza amplia de esta actualización, sugerimos probar las siguientes funciones y componentes de Windows:
Además de estos cambios y los requisitos de prueba posteriores, he incluido algunos de los escenarios de prueba más difíciles para esta actualización de enero:
Con todos estos escenarios de prueba más difíciles, le recomendamos que analice su cartera de aplicaciones en busca de componentes de aplicaciones actualizados o dependencias a nivel del sistema. Este análisis debería proporcionar una lista corta de las aplicaciones afectadas, lo que debería reducir las pruebas y el esfuerzo de implementación posterior.
Esta sección contendrá cambios importantes en el servicio (y la mayoría de las actualizaciones de seguridad) para las plataformas de servidor y escritorio de Windows. Con Windows 10 21H2 ahora sin soporte general, tenemos las siguientes aplicaciones de Microsoft que llegarán al final del soporte general en 2023:
Cada mes, desglosamos el ciclo de actualización en familias de productos (según lo define Microsoft) con las siguientes agrupaciones básicas:
Microsoft ha lanzado cinco actualizaciones para su navegador Chromium este mes, todas abordando las vulnerabilidades relacionadas con la memoria «Use after free» en el motor Chromium. Puede encontrar la versión de Microsoft de estas notas de la versión aquí y las notas de la versión del canal de Google Desktop aquí . No hubo otras actualizaciones para los navegadores de Microsoft (o motores de renderizado) este mes. Agregue estas actualizaciones a su programa de lanzamiento de parches estándar.
Enero trae 10 actualizaciones críticas, así como 67 parches calificados como importantes para la plataforma Windows. Cubren los siguientes componentes clave:
En general, esta es una actualización enfocada en actualizar la red y la pila de autenticación local con algunas correcciones al ciclo de parches del mes pasado. Lamentablemente, se ha informado públicamente de una vulnerabilidad ( CVE-2023-21674 ) en una sección central del código de Windows ( ALPC ). Microsoft describe este escenario como «un atacante que explotó con éxito esta vulnerabilidad podría obtener privilegios de SISTEMA». Gracias, Stiv , por tu arduo trabajo en este caso.
Tenga en cuenta: todas las agencias federales de EE. UU. han recibido instrucciones de parchear esta vulnerabilidad para fines de enero como parte de la «orden operativa vinculante» ( BODAMP ) de CISA .
Agregue esta actualización a su calendario de lanzamiento de «Patch Now».
Microsoft abordó un único problema crítico con SharePoint Server ( CVE-2023-21743 ) y otras ocho vulnerabilidades de seguridad calificadas como importantes por Microsoft que afectan a las aplicaciones de Visio y Office 365. Nuestras pruebas no generaron problemas significativos relacionados con los cambios del martes de parches, dado que la mayoría de los cambios se incluyeron en las versiones de Microsoft Click-to-Run , que tiene un perfil de implementación y prueba mucho más bajo. Agregue estas actualizaciones de Microsoft Office a su programa de implementación estándar.
Para este lanzamiento de parche de enero para Microsoft Exchange Server, Microsoft entregó cinco actualizaciones, todas calificadas como importantes para las versiones 2016 y 2019:
Ninguna de estas vulnerabilidades se hace pública, no se ha informado que se haya explotado en la naturaleza ni se ha documentado que conduzca a la ejecución de código arbitrario. Con estos pocos problemas de seguridad de bajo riesgo, le recomendamos que se tome su tiempo para probar y actualizar cada servidor. Una cosa a tener en cuenta es que Microsoft ha introducido una nueva función ( firma de certificado de PowerShell ) en esta versión de «parche», que puede requerir pruebas adicionales. Agregue estas actualizaciones de Exchange Server a su programa de lanzamiento de servidor estándar.
Microsoft ha publicado dos actualizaciones de su plataforma de desarrollo ( CVE-2023-21779 y CVE-2023-21538 ) que afectan a Visual y Microsoft .NET 6.0. Ambas actualizaciones están clasificadas como importantes por Microsoft y se pueden agregar a su programa de lanzamiento estándar.
Las actualizaciones para Adobe Reader están de vuelta este mes, aunque Microsoft no ha publicado los últimos parches. El último conjunto de actualizaciones ( APSB 23-01 ) abordó ocho problemas críticos relacionados con la memoria y siete actualizaciones importantes, la peor de las cuales podría conducir a la ejecución de código arbitrario en ese sistema sin parches. Con una calificación CVSS más alta que el promedio (7.8), le recomendamos que agregue esta actualización a su ciclo de lanzamiento «Patch Now».