Microsoft Patch Tuesday: actualización crítica para IE

Hoy fue el último Martes de revisión de Microsoft de 2009. Microsoft lanzó un total de seis nuevos boletines de seguridad, el más urgente que afecta a un error de día cero en Internet Explorer para el cual ya existe código de explotación.

Salvo cualquier problema de seguridad urgente o exploits que circulan libremente para forzar una actualización fuera de banda, el número total de boletines de seguridad para 2009 es 74, una caída del 5 por ciento de los 78 boletines de seguridad lanzados en 2008.

Acuerdo con MS09-072 Primero

[Lectura adicional: nuestros mejores trucos, sugerencias y ajustes de Windows 10]

Los expertos son unánimes en que el boletín de seguridad MS09-072, que incluye la actualización de seguridad acumulativa para Internet Explorer, es de lejos el parche más urgente lanzado por Microsoft hoy.

Andrew Storms, director de operaciones de seguridad de nCircle, dijo en un correo electrónico: "Las noticias actuales de Topping de Microsoft son la solución para un error crítico de día cero en Internet Explorer. La vulnerabilidad se convirtió en una de las principales preocupaciones de seguridad para los usuarios cuando el código de explotación se hizo público. Reconociendo la naturaleza crítica del problema, Microsoft hizo del arreglo una prioridad y lo entregó en unas dos semanas ".

Otro experto en seguridad de nCircle, el ingeniero de seguridad senior Tyler Reguly, estuvo de acuerdo en que" el número uno en la lista de todos hoy debería ser MS09-072, el parche de IE, ya que incluye un parche para la vulnerabilidad actual de 0 días de IE. Aplicar parches a IE siempre es crucial, pero dado el ataque público, debería parchearse lo más rápido posible.

Hablé con Amol Sarwate, gerente de Qualys Vulnerabilities Research Lab, quien lo resumió: "MS09-072 es definitivamente el más urgente. La vulnerabilidad se hizo pública hace tres semanas. Los atacantes han tenido tres semanas para trabajar con la prueba de concepto y desarrollar un exploit viable. Si solo puedes hacer un parche, hazlo. "

Reguly dijo que más allá de MS09 -072 el resto de los boletines de seguridad de hoy en día son una mezcla aleatoria de arreglos. Implican la mayor parte del alfabeto y varios acrónimos, lo que afecta a LSASS, ADFS e IAS para principiantes.

En el gran esquema de cosas, sin embargo, no hay nada muy urgente una vez que aplique el parche a Internet Explorer. Reguly recomienda que las organizaciones tomen el tiempo para probar correctamente los parches restantes antes de implementarlos.

Internet Explorer Fail

Puede que no lo haya notado, pero "Cumulative Update for Internet Explorer" es un accesorio permanente en la lista mensual de boletines de seguridad de Microsoft, y hasta donde puedo recordar, siempre se califica como crítico. A medida que se ejecuten más aplicaciones y servicios directamente desde la nube, el navegador web se convertirá en un talón de Aquiles más seguro.

Hablé con el director de tecnología de Qualys, Wolfgang Kandek, quien señaló que un porcentaje significativo de clientes de Qualys todavía dependen de Internet. Explorer 6. Sugirió que la mayoría de las debilidades enfrentadas podrían eliminarse simplemente adoptando Internet Explorer 8.

nCircle's Storms señala, sin embargo, que "las prácticas de desarrollo de código de seguridad de Microsoft van a estar bajo escrutinio nuevamente porque el IE de hoy la actualización incluye correcciones para dos exploits no públicos que solo afectan a IE8, el navegador más nuevo de Microsoft. "

Storms 'elaborado" No hay forma de que Microsoft evite la especulación de que estos errores deberían haberse encontrado durante el desarrollo del software y ciclo de aseguramiento de la calidad, pero la realidad es que esto iba a ocurrir. Cada producto tiene errores y más características significan superficies de ataque mayores. "

No arrastre su self Down

Kandek siente que Microsoft está firmemente enfocado en Windows 7 y le gustaría mantener sus ojos -y desarrolladores- en el futuro, pero que la base masiva de las instalaciones de Windows XP no puede ser ignorada. Aunque a Microsoft le gustaría alejarse de la compatibilidad con el sistema operativo heredado, Windows XP seguirá existiendo por un tiempo.

Vale la pena señalar que Windows 7 no se ha visto directamente afectado por ninguno de los 12 boletines de seguridad que se han publicado desde que salió a la calle. Windows 7 se ve afectado periféricamente por los problemas de Internet Explorer abordados en MS09-072, y hay una exploración en curso sobre qué está causando la misteriosa pantalla negra de la muerte, pero todavía no hay fallas confirmadas de Windows 7.

En general, Internet Explorer 6 es como el queso suizo en comparación con IE8 desde una perspectiva de seguridad. También es una pesadilla para los administradores web y los usuarios que intentan hacer cosas como ver páginas web. El reciente Informe de Inteligencia de Seguridad de Microsoft mostró que Windows XP tiene un 75 por ciento más de probabilidades de verse comprometido que Windows 7.

Por más débil que estos dos productos se comparen con sus equivalentes más modernos, muchas organizaciones todavía confían en ellos. Esas organizaciones necesitan echar otro vistazo a Windows 7 e Internet Explorer 8 y los posibles ahorros en términos de soporte.

Usar Windows XP e Internet Explorer 6 y luego quejarse de la seguridad de los productos de Microsoft es como conducir un automóvil arrastrando un anclaje del barco y luego quejarse de que está obteniendo un bajo rendimiento de combustible.

Tony Bradley tuitea como @SecurityNews, y se lo puede contactar en su página de Facebook.