Un mes más, Microsoft ha lanzado sus nuevos parches de seguridad para Windows 10. Estos parches acumulativos corrigen todo tipo de fallos y vulnerabilidades en el sistema operativo con el fin de brindar a los usuarios la mejor seguridad posible frente a todo tipo de ataques. En esta ocasión, Microsoft nos trae nuevos parches acumulativos para el sistema operativo y sus productos con los que corrige, ni más ni menos, que 108 fallos de seguridad. Y, además, 5 de ellos son de día cero, críticos para los usuarios.
Los nuevos parches de seguridad ya están disponibles, desde hace apenas unas horas, en Windows Update. Todos los usuarios que tengan una versión de Windows 10 con soporte (es decir, de 1909 en adelante) podrán bajar e instalar estos nuevos parches de forma gratuita. Además de Windows 10, Microsoft ha corregido fallos en otros programas y componentes suyos, como Azure, Edge, Exchange Server, Office, Visual Studio, Visual Studio Code, y Windows Media Player.
Los fallos más graves de estos parches de seguridad
Como hemos dicho, de las 108 correcciones de seguridad que traen estos nuevos parches, 5 de ellos solucionan vulnerabilidades de día cero. Este tipo de vulnerabilidades son fallos recién descubiertos y para los que no había ningún parche preparado. 4 de ellos fueron detectados por la propia Microsoft, mientras que el quinto lo ha detectado la firma de seguridad Kaspersky. De los 5, tan solo 1 estaba siendo explotado activamente por piratas.
Estos fallos de día cero son:
- CVE-2021-27091: elevación de privilegios en RPC Endpoint Mapper.
- CVE-2021-28312: fallo de denegación de servicio en NTFS.
- CVE-2021-28437: revelación de información con Windows Installer.
- CVE-2021-28458: elevación de privilegios en Azure.
- CVE-2021-28310: elevación de privilegios con Win32k. Este es el fallo descubierto por Kaspersky, y se cree que está siendo explotado.
Además, es importante destacar que la NSA ha descubierto 4 fallos de seguridad más en Microsoft Exchange. En realidad, seguramente estos fallos no sean nuevos, y la organización se lleve aprovechando años de ellos. Sin embargo, como recientemente en la Pwn2Own 2021 han encontrado fallos similares, relacionados con ellos, en este servidor, al final la NSA los ha reportado «voluntariamente». Estos fallos en Microsoft Exchange han sido considerados críticos, y todos ellos son de ejecución de código remoto.
Actualizar Windows
Los nuevos parches ya están disponibles para todas las versiones del sistema operativo que aún tengan soporte. Es decir, podremos encontrar el parche para Windows 7 (KB5001335) si usamos una versión de soporte extendido, para Windows 8.1 (KB5001382) y para las versiones que aún tienen soporte de Windows 10, las que han recibido parches son 1507 (KB5001340), 1803 (KB5001339) y 1809 (KB5001342).
En el caso de las versiones son soporte normal de Windows 10, la versión 1909 ha recibido el parche «KB5001337«, mientras que las versiones 2004 y 20H2 han recibido «KB5001330«.
Además de poder bajarlas a mano desde el catálogo de Microsoft Update, también podemos abrir Windows Update en nuestro sistema, buscar las nuevas actualizaciones y bajarlas desde allí. Eso sí, viendo la trayectoria de Microsoft con los últimos parches, recomendamos crear puntos de restauración y otros backups para poder recuperar el PC en caso de que algo salga mal.
Junto a todas las correcciones de seguridad (que no son pocas), Microsoft también ha enviado los últimos parches de calidad para el sistema (que datan de finales de marzo). Estos, además de corregir errores y fallos no relacionados con la seguridad, eliminan definitivamente Microsoft Edge clásico del sistema.