viernes, 6 de marzo de 2009

Microsoft publicará tres boletines de seguridad el próximo martes

En su ciclo habitual de actualizaciones los segundos martes de cada mes, Microsoft ha anunciado que en esta ocasión se esperan tres boletines de seguridad. Las actualizaciones afectarían únicamente a su sistema operativo Windows. Parece que no han llegado a tiempo para parchear la grave vulnerabilidad en Excel que está siendo aprovechada por atacantes y que fue reconocida por Microsoft a finales de febrero.

Si en febrero se publicaron tres boletines de seguridad, este mes Microsoft prevé publicar de nuevo tres actualizaciones el martes 10 de marzo. Las tres dedicadas a Windows. Una alcanza la categoría de crítica, mientras que las otras dos están catalogadas como importantes. A Windows Vista y XP solo le afectan dos de ellas.

Adicionalmente, y como viene siendo habitual, Microsoft publicará una actualización para Microsoft Windows Malicious Software Removal Tool. Además, se publicarán actualizaciones de alta prioridad no relacionadas con la seguridad.

Parece que Microsoft no corregirá en esta tanda de parches el grave problema de seguridad encontrado en su hoja de cálculo Excel. El pasado 24 de febrero, Microsoft reconoció en una nota oficial que estaban investigando la existencia de una nueva vulnerabilidad en Office Excel que podría permitir la ejecución remota de código si un usuario abre un archivo Excel especialmente manipulado.

La vulnerabilidad, de la que se han dado pocos detalles, estaría causada por una referenciación a un objeto no válido al abrir un documento Excel, lo que podría permitir la ejecución de código. Si el usuario abriese el archivo con permisos de administrador, el atacante podría tomar completo control del sistema afectado. Desde Symantec se afirma que el fallo está siendo aprovechado para comprometer sistemas en Asia, principalmente en oficinas gubernamentales y de grandes corporaciones.

Como es habitual, cada boletín podrá contener un número indeterminado de correcciones de seguridad y hay que señalar que, en cualquier caso, el adelanto que ofrece Microsoft está sujeto a cambios de última hora.

Hispasec Sistemas publicará puntualmente a través de este boletín información detallada sobre los nuevos parches.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Microsoft Security Bulletin Advance Notification for March 2009
http://www.microsoft.com/technet/security/Bulletin/MS09-mar.mspx

27/02/2009 Vulnerabilidad crítica en Excel podría estar siendo explotada desde hace dos meses
http://www.hispasec.com/unaaldia/3779

No hay comentarios:

Publicar un comentario en la entrada