miércoles, 22 de febrero de 2017

Microsoft publica actualización, pero solo para Flash

Una semana después de informar que este mes no habría actualizaciones de seguridad, Microsoft ha publicado un boletín (el MS17-005) para solucionar únicamente las vulnerabilidades relativas a Flash Player.

Aunque Microsoft había anunciado que no publicaría más boletines en el formato habitual, una semana después de la fecha esperada ha sorprendido con el ya habitual boletín en el que se resuelven las vulnerabilidades solucionadas por Adobe en Flash Player en su también boletín periódico.

Se trata de un boletín "crítico" que en esta ocasión soluciona 13 vulnerabilidades en Adobe Flash Player instalado en Windows Server 2012, Windows Server 2016, Windows 8.1 y Windows 10; correspondientes al boletín APSB17-04 de Adobe (y que se publicó y analizó hace una semana en una-al-día).

Resulta un poco extraño la publicación de este único boletín, aun más cuando existen dos vulnerabilidades públicamente conocidas y aún sin parchear. El fallo en el tratamiento de tráfico SMB que puede permitir provocar denegaciones de servicio y el reportado por Project Zero de Google, por una lectura fuera de límites en gdi32.dll (con CVE-2017-0038). Todo indica, que tendremos que seguir esperando hasta el próximo 14 de marzo (segundo martes del mes).

En cualquier caso, esta actualización puede descargarse a través de Windows Update o desde Microsoft Update Catalog donde se incluyen las direcciones de descarga directa de cada parche. También se instalará a través de las actualizaciones automáticas en caso de estar programadas.

Más información:

Microsoft Security Bulletin Summary for February 2017

Microsoft Security Bulletin MS17-005 - Critical
Security Update for Adobe Flash Player (4010250)

una-al-dia (14/02/2017) Actualizaciones de seguridad para Adobe Flash Player, Digital Editions y Campaign

una-al-dia (17/02/2017) Microsoft retrasa sus parches de febrero hasta el 14 de marzo


Antonio Ropero

Twitter: @aropero