La seguridad es uno de los pilares básicos de Microsoft, pues está catalogada como una de las compañías tecnológicas más importantes del mundo. Es por eso que sus constantes actualizaciones de seguridad son muestra de su compromiso con sus usuarios. Estas ofrecen la seguridad que necesitan sus clientes, así como la reputación de confiabilidad que la empresa representa.
Para mantener la confianza de los usuarios desde el lanzamiento de Windows 10 la compañía cambió sus estándares de actualización de software, haciendo que el segundo martes de todos los meses estuvieran disponibles las actualizaciones de seguridad más importantes para el sistema.
Las últimas actualizaciones de seguridad que Microsoft tiene disponibles para sus clientes vienen a poner fin a las vulnerabilidades que presentan el sistema operativo Windows 10 y la aplicación Visual Studio. En total son 87 “debilidades” de seguridad que son combatidas en la última actualización.
Además de las actualizaciones de software, puedes contar con una VPN gratuita segura para una red segura, esta no permite que se rastree tu información o ubicación cuando navegas. De esta forma podrás doblar todavía más la seguridad de tus datos.
Las vulnerabilidades
Según la compañía las vulnerabilidades de Windows 10 y Visual Studio son fallos de “ejecución remota de código”. Esto quiere decir que un atacante puede ejecutar códigos en ambos sistemas, si logran ejecutarse las fallas. Veamos a continuación específicamente los errores en cada uno.Windows 10
En el sistema de Windows 10 el fallo lleva el nombre de: CVE-2020-17022. Este permite la creación de imágenes que al ser procesadas por cualquiera de las aplicaciones de Windows, le daba al atacante la oportunidad de ejecutar códigos dentro del sistema operativo. Todas las versiones de Windows 10 se vieron afectadas por este error.La actualización para arreglar el error se instalaría automáticamente en todos los sistemas operativos de los usuarios a través de Microsoft Store. Sin embargo, cabe destacar que no todos se vieron afectados, sino solo aquellos que instalaron códecs opcionales como el HEVC.
Si todavía no has instalado la actualización es recomendable que verifiques si estás usando algún códec HEVC vulnerable. Para ello sigue los siguientes pasos:
Ingresa en “Configuraciones” > “Aplicaciones y características”.
Luego selecciona HEVC y haz clic a “Opciones avanzadas”.
Por último, revisa la versión. Solo son seguras la 1.0.32762.0, la 1.0.32763.0 y posteriores.
Visual Studio Code
En cuanto a la aplicación Visual Studio el nombre del fallo es: CVE-2020-17023. Este permitía al atacante crear archivos “package.json”, que al cargarse en la aplicación ejecutaban un código malicioso.Según los permisos otorgados por el usuario, este error le otorga privilegios de administrador al atacante, dándole el control total de su sistema gracias al host infectado. Estos archivos generalmente son proyectos o bibliotecas de JavaScript, que es una de las tecnologías más populares, por lo que es común encontrarlos.
Lo más recomendable para no caer víctimas de un atacante es actualizar la aplicación de Visual Studio a la última versión lo antes posible.
Ambas fallas de seguridad se clasifican como “vulnerabilidad de ejecución remota de código” (RCE), lo que quiere decir, que al ser ejecutadas con éxito le permite al atacante hacerse con todo el sistema afectado.
¿Qué opina la comunidad sobre estas actualizaciones de seguridad?
Según el sistema CVSS o sistema de puntaje de vulnerabilidades, estas fallas están puntuadas en 7.8 en una escala de 10. Lo que quiere decir que califican como “significativas”. Vale la pena destacar que hasta los momentos no hay pruebas de que las fallas hayan permitido ataques, lo que quiere decir, que las actualizaciones llegaron antes que el peligro.Esto se debe, al menos en el HEVC para lograr explotar la vulnerabilidad se requería un programa con un archivo de imagen especialmente diseñado. Pero para Microsoft esta vía de acción no era posible.
Aun así se decidió crear la actualización para evitar la amenaza a los usuarios vulnerables. Que recuerda son aquellos que han instalado la codificación de vista opcional HECV en las versiones de Windows 1709 o superiores.
Generalmente los parches de seguridad se entregan a través de Microsoft Update, sin embargo, como el códec HVEC es opcional, la actualización se ofrece por el mismo canal donde el usuario descarga este códec: Microsoft Store.
En cuanto a la falla de Visual Studio esta solo podría haber llegado a un caso real si el usuario era engañado para abrir un archivo JSON. Pero nuevamente Microsoft no cree que esto sea muy probable. Sin embargo, se recomienda aplicar el parche.
¿Qué importancia tiene instalar las actualizaciones de Windows?
Debes saber que las actualizaciones de Windows siempre están disponibles para su aplicación y descarga desde Windows Update. Sin embargo, en algunos casos como el anterior también pueden obtenerse desde Windows Store.Según la configuración que tengas estas se instalarán de manera automática o te avisarán cuando haya nuevas disponibles para que le concedas el permiso de instalarlas. Windows Update viene instalado por defecto en los ordenadores y revisa los programas instalados constantemente para saber cuáles necesitan ser actualizados.
Desde allí podrás también revisar las actualizaciones de aplicaciones, drivers, códec, etc., así como fallos o errores que pudieran ser arreglados con una actualización. Esto es importante porque Windows al ser uno de los sistemas operativos más usados en el mundo es víctima de ataques constantes.
Además, este en comparación con otros como Ubuntu, suele ser más vulnerable. La actualización protege tu ordenador, pues se asegura de cubrir los fallos de errores del sistema.
¿Dónde encontrar actualizaciones de seguridad que se han instalado?
Para darle un vistazo a las actualizaciones debes seguir los siguientes pasos:Ingresa en “Panel de control”.
Luego ve a “Programas”.
Entra en “Programas y características”.
Finalmente ingresa en “Actualizaciones instaladas”.
Allí encontrarás la lista de las actualizaciones en tu Windows. Si deseas saber específicamente para qué sirve una de estas actualizaciones ve a la web de Microsoft y escribe en su buscador el número que la identifica.
Recuerda estar siempre al pendiente de las actualizaciones pues estas protegen tu equipo, tus datos y tu información privada.
GizLogic
Fuente: este post proviene de Gizlogic, donde puedes consultar el contenido original.
¿Vulnera este post tus derechos? Pincha aquí.
Creado:
