sábado, 5 de enero de 2013

Microsoft publicará siete boletines de seguridad, sin corregir el 0day de Internet Explorer

Microsoft actualizará numerosos productos de su familia Windows y Office entre otros, pero no publicará un parche oficial al 0-day descubierto la semana pasada.

Como cada mes, Microsoft ha dado un adelanto de los boletines que publicará dentro de su ciclo de actualizaciones, esta vez el próximo martes 8 de enero. En esta ocasión se trata de siete boletines (del MS13-001 al MS13-007) que corregirán un total de doce vulnerabilidades en diversos sistemas.

De estos boletines, dos han sido calificados como críticos, corrigiendo vulnerabilidades que pueden dar lugar a la ejecución de código remoto en sistemas Microsoft Windows, Office y Developer Tools.

Pero entre ellos, no se incluirá un boletín específico para la vulnerabilidad detectada la semana pasada (CVE-2012-4792) en Internet Explorer 6, 7 y 8. Aunque los usuarios disponen del parche temporal publicado por Microsoft (Fix it 50971), ya existen nuevos exploits que consiguen comprometer sistemas actualizados con él, como advierten los investigadores de Exodus.

Lo productos afectados por la ejecución remota de código serían:
  • Familia Windows: XP, Vista, W7, Server 2003, 2008 y 2012 y los correspondientes a Windows 8 y RT.
  • Microsoft Office 2003 y 2007, Word Viewer y Office Compatibility Pack.
  • Microsoft Expression Web SP1 y 2.


Los dos boletines calificados como importantes, solucionarán fallos de seguridad también en sistemas SharePoint , Groove Server y System Center Operations Manager, en sus versiones 2007. Esta vez, los impactos potenciales son la elevación de privilegios, salto de restricciones o denegación de servicio.

Microsoft también lanzará una actualización para su herramienta "Microsoft Windows Malicious Software Removal Tool" que estará disponible desde Microsoft Update, Windows Server Update Services y su centro de descargas.

Desde Hispasec Sistemas se informará puntualmente sobre los nuevos parches a través de este boletín dando una información más detallada sobre los boletines de actualización de Microsoft.

Más información:

Microsoft Security Bulletin Advance Notification for January 2013

Bypassing Microsoft’s Internet Explorer 0day “Fix It” Patch for
CVE-2012-4792

Una vulnerabilidad en Internet Explorer podría permitir la ejecución remota de código (2794220)

una-al-dia (28/12/2012) Ejecución de código arbitrario en Microsoft Internet Explorer 6, 7 y 8


José Mesa Orihuela

3 comentarios:

  1. Y dale con el "Desde Hispasec se informará"...

    ResponderEliminar
  2. hoy se publica la actualizacion para ie y el problema que podia registrar la pulsaciones del teclado?

    ResponderEliminar
  3. Y dale con "Y dale con el "Desde Hispasec se informará"..."

    ResponderEliminar