Ya puedes actualizar Windows 10: el último Patch Tuesday solventa hasta 116 vulnerabilidades, el mayor número de los últimos meses

0
156

Ayer fue el segundo martes del mes, lo que significa que hace sólo unas horas que muchas compañías de software estadounidenses siguieron la tradición de concentrar en este día —el ‘Patch Tuesday’— el lanzamiento de sus actualizaciones mensuales. Por supuesto, lo que más atención suele atraer son las actualizaciones acumulativas de Windows lanzadas por Microsoft.

Si tienes instalada alguna de las tres versiones más recientes de Windows 10 (2004, 20H2 y 21H1), cuando abras Windows Update tendrás disponible la actualización acumulativa KB5004237, que incluye actualizaciones relativas a la seguridad general del sistema, a la verificación de datos de login y a labores de impresión.

Las builds más antiguas de Windows 10, por su parte, cuentan con sus propias versiones de esta actualización acumulativa:

116 agujeros de seguridad, parcheados

En realidad, ya conocemos varios de los parches incluidos en esta actualización, pues han ido saliendo de forma independiente en estos días previos: parches para solventar el rendimiento de los juegos, problemas con los PDF… y el famoso parche contra la vulnerabilidad PrintNightmare, del que Microsoft lanzó hace unos días a toda prisa una versión preliminar que en pocas horas quedó claro que había resultado fallida, pues no sólo no protegía eficazmente contra los ataques, sino que desactivaba el único parche no-oficial disponible hasta el momento.

Finalmente, el Patch Tuesday lanzado ayer para Windows 10 parchea 116 agujeros de seguridad de los que al menos 4 de ellos están siendo explotados actualmente, y un total de 13 han sido clasificados como ‘críticos’ por Microsoft (lo que significa que podrían dar a un atacante el control de nuestro equipo).

Destacan tres de ellos, que forman parte de ambos grupos: CVE-2021-34448, una vulnerabilidad crítica de ejecución remota de código en el motor de scripting integrado en todas las versiones compatibles de Windows (incluidas las de servidor); y CVE-2021-33771 y CVE-2021-31979, ambos bugs relacionados con la elevación de privilegios en el kernel de Windows.

Update

Update

Una vez más, nos toca pasar por esto.

Otra de las vulnerabilidades más relevantes entre las parcheadas ayer es CVE-2021-34494, un agujero de seguridad ‘zero-day’ en el servidor DNS de Windows que también afecta a las versiones de servidor de Windows, y que permite manipular el sistema de resolución de nombres de dominio, redireccionando así los accesos web de forma transparente para el usuario.

Pero entre los 116 agujeros de seguridad hay de todo, contando también con otros que afectan a una larga lista de componentes de Windows (Windows Defender, Dynamics Business Central, Windows Media Foundation, Hyper-V y la plataforma MSHTL), así como a programas externos (como HEVC Video Extensions, Microsoft Excel y SharePoint Server, Word, Power BI, etc.). Dustin Childs, de Zero-Day Initiative, afirma que

«Este volumen de correcciones es mayor que el de los últimos dos meses combinados y está a la par de los totales mensuales de 2020. Tal vez la tasa más baja de estos meses anteriores fuera una anomalía».

Qué es Windows Insider y cómo funciona el programa de betas de Microsoft

¿Y qué pasa con Windows 11?

Pero… este es el primer ‘Patch Tuesday’ desde la presentación oficial de Windows 11 y desde el lanzamiento de la ‘Insider Preview’, ¿acaso hoy no hay novedades ni parches relacionados con el sustituto de Windows 10?

Pues aparentemente, no: si bien dicha build ya ha empezado a recibir actualizaciones acumulativas, al estar disponible únicamente en el canal Dev del programa Insider su cadencia no sigue aún el ritmo habitual de las actualizaciones de Windows.