sábado, 16 de agosto de 2014

Actualización acumulativa para Internet Explorer

Dentro del conjunto de boletines de seguridad de agosto publicado el pasado martes por Microsoft y del que ya efectuamos un resumen, se cuenta el anuncio (en el boletín MS14-051) de una actualización acumulativa para Internet Explorer versiones de la 6 a 11, que además solventa 26 nuevas vulnerabilidades.

Finalmente, al contrario de lo que se había adelantado y ante la presión de muchos usuarios, Microsoft ha decidido posponer el bloqueo de Java en el navegador. Aunque la función y las Políticas de grupo relacionadas están ya disponibles, Microsoft ha confirmado que esperará al próximo martes de actualizaciones (el 9 de septiembre) para bloquear los controles ActiveX anticuados.

Por el momento, los usuarios pueden utilizar la nueva función de registro para evaluar los controles ActiveX en su entorno e implementar Políticas de Grupo para bloquear los ActiveX, desactivar el bloqueo en dominios concretos o desactivar la característica completamente en función de sus necesidades.

De las 26 vulnerabilidades corregidas, 24 residen en un acceso incorrecto de objetos en memoria por parte del navegador. Estos problemas podrían ser aprovechados por un atacante remoto para ejecutar código arbitrario.

Por otra parte, las dos vulnerabilidades restantes podrían permitir la elevación de privilegios en Internet Explorer, debido a que el navegador no valida adecuadamente los permisos en determinadas situaciones, lo que podría permitir que un script se ejecute con privilegios elevados.

Este parche, al ser acumulativo, incluye todas las actualizaciones anteriores. Se recomienda actualizar el navegador mediante Windows Update o descargando los parches según plataforma desde la página del boletín de seguridad:

Más información:

Boletín de seguridad de Microsoft MS14-051 - Crítico
Actualización de seguridad acumulativa para Internet Explorer (2976627)

Internet Explorer begins blocking out-of-date ActiveX controls

Out-of-date ActiveX Control Blocking


Antonio Ropero
Twitter: @aropero

No hay comentarios:

Publicar un comentario en la entrada