¿Pueden las cosas ponerse peor que esto? Microsoft publicó ayer un aviso de seguridad — ADV190005 | Guía para ajustar los marcos HTTP/2 SETTINGS — que afecta a Windows Server que ejecuta Internet Information Services (IIS).
El problema de seguridad podría ser abusado para que el uso de la CPU aumente al 100% hasta que las conexiones HTTP/2 “maliciosas sean eliminadas por IIS”.
El aviso recomienda a los administradores que instalen las actualizaciones de no seguridad de febrero para la versión de Windows 10 que esté instalada en un dispositivo afectado. Microsoft publicó actualizaciones acumulativas para todas las versiones compatibles de Windows 10 en el martes del parche de febrero que incluía actualizaciones de seguridad.
Las actualizaciones a las que Microsoft se refiere en el aviso fueron lanzadas esta semana para Windows 10 versión 1607 a 1803 (la actualización para Windows 10 versión 1809 está siendo probada actualmente en el anillo de previsualización de la versión) y las versiones relacionadas de Windows Server.
Índice de contenido
No hay instrucciones disponibles
No es la primera vez que las actualizaciones sin seguridad actualizan el contenido relacionado con la seguridad. El principal problema de este enfoque es que debilita la ya muy débil distinción entre las liberaciones mensuales de seguridad y las que no lo son.
El enfoque dista mucho de ser ideal, especialmente para administradores y usuarios que instalan parches de sólo seguridad exclusivamente en dispositivos.
Actualizar : Mientras tanto, Microsoft publicó el artículo de soporte.
Lo que hace que este aviso de seguridad en particular sea aún más problemático es que Microsoft pide a los clientes que revisen un artículo de la Base de conocimientos que no existe.
El aviso de seguridad se publicó ayer, pero el artículo de apoyo esencial aún no se ha publicado (un día después de la liberación). Es posible que Microsoft cometiera un error al añadir el enlace a la página, pero alguien ciertamente habría verificado el enlace antes de pulsar el botón de publicar.
No está claro si la instalación de las actualizaciones soluciona los problemas o si se requieren otros pasos para resolverlos completamente.
Palabras de cierre
Esta no es la primera vez que Microsoft publica actualizaciones o avisos sin publicar sus páginas de soporte. He publicado Microsoft, por favor, publique las páginas de apoyo antes de las actualizaciones en 2016 para aumentar la concienciación sobre el tema.
Los usuarios y administradores pueden encontrarse con actualizaciones y parches de Windows sin opción para averiguar lo que realmente hacen, pueden introducir problemas o tener pasos o requisitos adicionales.
Los administradores podrían instalar los parches y esperar lo mejor en este caso en particular, o esperar hasta que Microsoft publique la página de soporte. Ambas opciones no son muy agradables; la primera podría significar que los pasos importantes para proteger el servidor no se implementan debido a la falta de instrucciones, la segunda que los ataques podrían golpear el servidor mientras el administrador espera a que Microsoft libere la página de soporte.
Ahora Usted : ¿Qué haría usted y cuál es su opinión al respecto? (vía Ask Woody)
Resumen Article NameMicrosoft: corrige el problema de seguridad con la actualización sin seguridad. Las instrucciones apuntan a que no existe K