El ciclo de vida de Windows 8, el primer sistema operativo de Microsoft destinado tanto para escritorio como para dispositivos móviles ha terminado. Después de la liberación del Patch Tuesday de Enero de 2016 los usuarios que aún no han actualizado o hecho algún upgrade a Windows 8.1 (que estuvo disponible a finales de 2013) o a Windows 10 dejará de recibir actualizaciones. La actualización a Windows 8.1 o 10 es gratuito para los usuarios de Windows 8. Este fin de soporte no debería ser una sorpresa: una vez que el Service Pack (en este caso, Windows 8.1) se libera, los usuarios tienen aproximadamente 24 meses para hacer el upgrade antes de que termine el soporte.
Las versiones anteriores de Internet Explorer también recibirán soporte limitado de Microsoft. A partir de ahora, sólo la versión “más reciente” de IE para una versión concreta de Windows recibirá actualizaciones. Para la mayoría de los usuarios finales, esto significa Internet Explorer 11. (Los detalles de qué versión es compatible con cada versión de Windows está publicado como parte de la página del ciclo de vida de soporte de Microsoft.)
Internet Explorer y Windows se enumeran entre el software afectado patcheado en la última versión Microsoft. De los nueve parches, seis fueron marcados como críticos, mientras que el resto fueron marcados como importantes. Uno de ellos, MS16-001 aborda una falla crítica en Internet Explorer que los atacantes pueden utilizar para instalar programas, modificar datos, o crear cuentas nuevas con todos los derechos de usuario. MS16-002 también resuelve una vulnerabilidad del navegador, esta vez en Microsoft Edge, que puede permitir a los atacantes obtener los mismos derechos de usuario que el usuario actual.
Las otras vulnerabilidades afectan Windows (MS16-003, MS16-005, MS16-007, MS16-008), Visual Basic (MS16-004), Silverlight (MS16-006), y Exchange Server ((MS16-010).
Adobe también resolvió 17 fallas para Adobe Acrobat y Reader en un boletín separado. Todas estas actualizaciones solucionan vulnerabilidades críticas, que, si se dejan sin parchear, pueden permitir a los atacantes tomar el control de los sistemas afectados.
Actualizar el software y los sistemas con los últimos parches de Adobe y Microsoft es altamente recomendable.
Soluciones de Trend Micro
Trend Micro Deep Security y Vulnerability Protection protegen los sistemas de los usuarios contra amenzas que pueden aprovechar estas vulnerabilidades con las siguientes reglas de DPI:
- 1007362 – Microsoft Internet Explorer Scripting Engine Memory Corruption Vulnerability (CVE-2016-0002)
- 1007363 – Microsoft Internet Explorer Same Origin Policy Bypass Vulnerability (CVE-2016-0005)
- 1007364 – Microsoft Windows ASLR Bypass Vulnerability (CVE-2016-0008)
- 1007366 – Microsoft Silverlight Runtime Remote Code Execution Vulnerability (CVE-2016-0034)
- 1007368 – Microsoft DirectShow Heap Corruption Vulnerability (CVE-2016-0015)
- 1007369 – Microsoft Windows DLL Loading Vulnerabilities Over Network Share (MS16-007)
- 1007370 – Microsoft Windows DLL Loading Vulnerabilities Over WebDAV (MS16-007)
- 1007372 – Microsoft Edge Memory Corruption Vulnerability (CVE-2016-0003)
- 1007373 – Microsoft Office Memory Corruption Vulnerability (CVE-2016-0010)
- 1007374 – Microsoft Office ASLR Bypass Vulnerability (CVE-2016-0012)
- 1007375 – Microsoft Office Memory Corruption Vulnerability (CVE-2016-0035)
- 1007378 – Microsoft Edge Memory Corruption Vulnerability (CVE-2016-0024)
Actualización 12 de Enero de 2016, 3:30 P.M. PST
Hemos actualizado esta entrada para añadir información sobre las soluciones de Trend Micro.
Leave a Reply