Ayer fue segundo martes de mes, es decir, varias compañías de software como Microsoft y Adobe publicaron una serie de parches de seguridad para sus principales productos de software con los que solucionar vulnerabilidades y fallos descubiertos en el último mes y poder ofrecer a sus usuarios un producto más seguro y estable para evitar que la seguridad de estos pueda verse comprometida.
Desde Adobe han publicado sus parches de seguridad sin demasiadas novedades principalmente solucionando una serie de vulnerabilidades en sus principales programas como veremos más adelante, sin embargo, Microsoft ha llevado a cabo una serie de decisiones decisivas, tanto relacionadas con su sistema operativo de mayor éxito como con los planes de actualizaciones de su software como vamos a ver a continuación.
Martes de parches para los productos de Microsoft
Microsoft ha lanzado parches de seguridad para todos sus productos, desde Windows Vista hasta el actual Windows 8.1. Estos parches, aunque varían entre sistemas operativos y versiones, principalmente se resumen en los siguientes:
- MS15-001 – Fallo en la caché que permite la elevación de privilegios.
- MS15-002 – Vulnerabilidad en Telnet que permite ejecutar código remoto en los sistemas.
- MS15-003 – Fallo en la gestión de usuarios que permite elevación de privilegios.
- MS15-004 – Un error en los componentes de Windows que permite la elevación de privilegios.
- MS15-005 – Un fallo en la gestión de la red permite evitar las medidas de seguridad del sistema operativo.
- MS15-006 – Fallo en el sistema de reporte de vulnerabilidades que permite saltarse las medidas de seguridad del sistema.
- MS15-007 – Fallo en RADIUS que permite ser víctima de ataques DDoS.
- MS15-008 – Fallo en el kernel que permite la elevación de privilegios.
Todas las vulnerabilidades han sido consideradas como «Importantes» salvo el fallo en Telnet, que ha sido considerado «Crítico«. También se han lanzado actualizaciones no relacionadas con la seguridad para Internet Explorer, Adobe Flash Player y los productos .NET.
Final del soporte técnico para Windows 7
Con el lanzamiento de los parches anteriores se da por finalizado el soporte técnico básico de Windows 7. Este aspecto no es preocupante ya que por el momento el sistema operativo seguirá recibiendo actualizaciones de seguridad hasta el año 2020, aunque lo que sí garantiza es que ya no se lanzará, por ejemplo, el esperado Service Pack 2 ni se desarrollarán nuevas características y mejoras para él, quedando únicamente en un plan de mantenimiento de seguridad.
Con el actual Windows 8.1 en el mercado y la llegada en los próximos meses de Windows 10, Microsoft intenta que los usuarios actualicen lo mejor posible hacia un sistema operativo moderno y evitar que ocurra de nuevo lo que ha pasado con Windows XP que, tras la finalización completa del soporte aún contaba con más del 20% de cuota de mercado.
Cierre del canal Microsoft Technet sobre las actualizaciones de seguridad únicamente a los usuarios de pago
Hasta ahora, los usuarios que querían estar al día de las vulnerabilidades de su sistema operativo y poder conocer antes del lanzamiento oficial algo de información básica sobre los parches que se están desarrollando para el software de Microsoft podían hacerlo de forma gratuita desde la web Microsoft Technet, sin embargo, Microsoft ha decidido cerrar este canal gratuito.
A partir de este momento, la información previa sobre las actualizaciones que facilitaba Microsoft a sus usuarios únicamente estará disponible para usuarios de pago de su plataforma Microsoft Technet, quedando los usuarios gratuitos sin acceso previo a esta información hasta que los parches se lancen en la fecha prevista. Una vez que los parches estén llegando a los usuarios esta información será pública y gratuita como hasta ahora.
Adobe soluciona fallos de seguridad en sus productos de Windows, Mac y Linux
Como es habitual, esta compañía también ha lanzado una serie de parches con los que solucionar una serie de vulnerabilidades detectadas en el último mes dentro de sus productos de software.
Las vulnerabilidades solucionadas por la compañía son:
- CVE-2015-0301 – Problemas con la validación de archivos.
- CVE-2015-0302 – Fallo que permite capturar las pulsaciones del teclado.
- CVE-2015-0303, CVE-2015-0306 – Fallo de corrupción de memoria que puede permitir ejecutar código remoto en la misma.
- CVE-2015-0304, CVE-2015-0309 – Fallo de desbordamiento de buffer que puede permitir la ejecución de código remoto.
- CVE-2015-0305 – Un fallo concreto que permitía ejecutar código remoto en el sistema.
- CVE-2015-0307 – Vulnerabilidad que puede permitir leer espacios reservados de la memoria del sistema.
- CVE-2015-0308 – Un fallo concreto que permitía ejecutar código remoto en el sistema.
Las versiones vulnerables a estos fallos corregidos son Adobe Flash Player 16.0.0.235 y todas las anteriores en los sistemas Windows y Mac y las versiones 11.2.202.425 y anteriores en los sistemas Linux.
Las nuevas versiones actualizadas que solucionan estas vulnerabilidades son la versión 16.0.0.257 en los sistemas Windows y Mac y la versión 11.2.202.429 para Linux. Estas versiones actualizadas se pueden descargar de forma gratuita desde la web de Adobe. Los usuarios de Google Chrome recibirán la actualización del módulo de forma automática en su navegador tan pronto como Google la libere.