Microsoft retrasa sus parches de febrero hasta el 14 de marzo

En una decisión sin precedentes, Microsoft ha anunciado que la publicación del paquete de actualizaciones planificadas para este pasado martes 14 de febrero se retrasa hasta el próximo 14 de marzo (segundo martes del mes). Problemas de última hora sin confirmar han obligado a la compañía a tomar esta drástica medida.

Se esperaban las actualizaciones de Microsoft de este segundo martes de mes con mayor inquietud que otros meses. Ya era conocido el cambio de modelo de anuncio y distribución de las actualizaciones lo que hacía que a la habitual curiosidad de todos los meses por saber los problemas corregidos se juntara la expectación por comprobar esos cambios de forma efectiva.

Posteriormente Microsoft publicaba un escueto comunicado en el informaba de que un problema de última hora podría afectar a algunos clientes y sin posibilidad de resolverlo a tiempo para ofrecer las actualizaciones planificadas. Por lo que tras considerar todas las opciones decidían retrasar los parches de este mes.Pero con cierta sorpresa el pasado día 14, segundo martes de febrero, no se publicaba ninguna nueva actualización. Ya sabíamos que no habría boletines, pero la Security Update Guide, base de datos donde debían recogerse los nuevos parches, tampoco reflejaba ninguna novedad.

After considering all options, we made the decision to delay this month’s updates. We apologize for any inconvenience caused by this change to the existing plan.

Pero ese “problema” del que no han ofrecido más detalles debe ser mucho más complicado de resolver de lo esperado inicialmente. Ya que finalmente en un añadido, aun más escueto, a la anterior información Microsoft comunicaba su decisión de retrasar todas las actualizaciones de febrero hasta el 14 de marzo.

UPDATE: 2/15/17: We will deliver updates
as part of the planned March Update Tuesday,
March 14, 2017.

No está claro cuál es ese problema de última hora, pero muchos creen que tiene algo que ver con las actualizaciones acumulativas, esto es la inclusión de todos los parches publicados en uno solo. Anteriormente en el modelo de actualizaciones independientes en caso de un problema con uno de los parches éste podía ser excluido fácilmente de la publicación mensual sin afectar al resto de boletines. Recordamos muchos meses en los que “curiosamente” había un salto en la numeración de los boletines. Ahora se especula que el sacar uno de los parches de todo un paquete conjunto puede ser mucho más problemático que anteriormente.

En cualquier caso seguimos desconociendo las causas de este retraso y todo son especulaciones.

Problemas pendientes de resolver

Lo que sí es cierto que en esta ocasión además Microsoft ya tiene un problema conocido en el tratamiento de tráfico SMB y con exploit público, que puede permitir provocar denegaciones de servicio.

Además, Microsoft también deberá incluir la solución a una vulnerabilidad de gravedad media, anunciada por Mateusz Jurczyk de Project Zero de Google, y antiguo compañero de Hispasec, debido a una lectura fuera de límites en gdi32.dll. Este fallo, con CVE-2017-0038, fue reportado a Microsoft el pasado 16 de noviembre por lo que según la política de este grupo se darán a conocer todos los detalles el miércoles 15 de marzo, 90 días después de su anuncio y justo un día después de la ya esperada próxima publicación de parches de Microsoft.

Más información:

February 2017 security update release

https://blogs.technet.microsoft.com/msrc/2017/02/14/february-2017-security-update-release/

Windows gdi32.dll heap-based out-of-bounds reads / memory disclosure in EMR_SETDIBITSTODEVICE and possibly other records

https://bugs.chromium.org/p/project-zero/issues/detail?id=992&q=

una-al-dia (11/11/2016) A partir de enero Microsoft no publicará más boletines de seguridad

http://unaaldia.hispasec.com/2016/11/a-partir-de-enero-microsoft-no.html

Furthering our commitment to security updates

https://blogs.technet.microsoft.com/msrc/2016/11/08/furthering-our-commitment-to-security-updates/

una-al-dia (03/02/2017) Vulnerabilidad 0-day en Windows

http://unaaldia.hispasec.com/2017/02/vulnerabilidad-0-day-en-windows.html

Microsoft Windows SMB Tree Connect Response memory corruption vulnerability

http://www.kb.cert.org/vuls/id/867968

Prueba de concepto SMBv3 Tree Connect

https://github.com/lgandx/PoC/tree/master/SMBv3%20Tree%20Connect

Windows SMBv3 Denial of Service Proof of Concept (0 Day Exploit)

https://isc.sans.edu/diary/Windows+SMBv3+Denial+of+Service+Proof+of+Concept+%280+Day+Exploit%29/22029

Fue originalmente publicado por: Antonio Ropero (antonior@hispasec.com)

About Gustavo Genez 415 Articles
Informático de corazón y apasionado por la tecnología. La misión de este blog es llegar a los usuarios y profesionales con información y trucos acerca de la Seguridad Informática.