viernes, 8 de agosto de 2014

El próximo martes Microsoft publicará nueve boletines de seguridad e Internet Explorer bloqueará controles ActiveX anticuados

Como cada mes, Microsoft ha revelado un adelanto de los boletines de seguridad que serán publicados dentro de su ciclo de actualizaciones, el próximo martes 12 de agosto. En esta ocasión, Microsoft publicará nueve boletines (del MS14-043 al MS14-051) que corregirán múltiples vulnerabilidades en diversos sistemas. Pero además, una gran e importante novedad para Internet Explorer, que permitirá bloquear controles ActiveX anticuados, lo que incluye Java

Entre los boletines, dos han sido calificados como críticos y corrigen vulnerabilidades que pueden dar lugar a la ejecución remota de código en los sistemas operativos Windows y en Internet Explorer. Aquí es donde entra la gran novedad, Microsoft ha confirmado que su navegador bloqueará los controles ActiveX anticuados.

ActiveX es una tecnología propia de Microsoft que con el tiempo ha sido clasificada prácticamente de maldita en cuestión de seguridad. Los controles ActiveX son aplicaciones que permiten a los sitios web proporcionar diferentes contenidos, como vídeo o juegos. Sin embargo, estos controles no se actualizan y pueden permanecer desfasados aunque haya nuevas versiones disponibles.

Aunque esta medida no vaya a solucionar el problema de los ActiveX, Microsoft pretende ayudar a controlar la situación introduciendo en Internet Explorer una nueva característica de seguridad llamada "out-of-date ActiveX control blocking". Esto permitirá: 
  • Conocer cuando Internet Explorer impide a una página web cargar controles ActiveX anticuados.
  • Interactuar con otras partes de la página web que no se ven afectadas por el control obsoleto.
  • Actualizar el control anticuado.
  • Inventariar los controles ActiveX que se usan.


Esta característica estará disponible en Windows 7 SP1 con Internet Explorer 8 a 11, en Windows 8 (y superior) con Internet Explorer para escritorio y en todas las zonas de seguridad salvo en la Intranet Local y en Sitios de Confianza.

Para decidir que controles bloquear, Internet Explorer emplea el archivo "versionlist.xml". Este archivo se actualizará con los controles ActiveX anticuados según se detecten. Microsoft comienza marcando las versiones anticuadas de Java, pero con el tiempo añadirá más controles a la lista.

En esta primera actualización, se pretende notificar la carga de las siguientes versiones de los controles Java ActiveX:
  • J2SE 1.4, versiones inferiores a update 43
  • J2SE 5.0, versiones inferiores a update 71
  • Java SE 6, versiones inferiores a update 81
  • Java SE 7, versiones inferiores a update 65
  • Java SE 8, versiones inferiores a update 11

Se puede visualizar la lista completa de controles ActiveX monitorizados en
Curiosamente se siguen dejando fuera de control versiones de Java 6 algo totalmente desaconsejado, pues se trata de versiones ya sin soporte y con múltiples problemas conocidos.

Para finalizar con la lista de boletines de seguridad publicados, los siete restantes son de nivel importante y solucionarán una vulnerabilidad de ejecución de código en Microsoft OneNote 2007; cuatro de elevación de privilegios en SQL Server 2008, SharePoint Server y en los sistemas operativos Windows; y por último dos problemas de evasión de características de seguridad en .Net y en los sistemas operativos Windows.

Como es habitual, Microsoft también lanzará una actualización para su herramienta "Microsoft Windows Malicious Software Removal Tool" que estará disponible desde Microsoft Update, Windows Server Update Services y su centro de descargas.

Desde Hispasec se informará puntualmente sobre los nuevos parches a través de este servicio de noticias, dando una información más detallada sobre los boletines de actualización de Microsoft.

Más información:

Microsoft Security Bulletin Advance Notification for August 2014

Internet Explorer begins blocking out-of-date ActiveX controls

Advance Notification Service for the August 2014 Security Bulletin Release

una-al-dia (15/05/2008) Mitos y leyendas: Seguridad en ActiveX I (Introducción)

una-al-dia (22/05/2008) Mitos y leyendas: Seguridad en ActiveX II (Protección)




Antonio Ropero
Twitter: @aropero



No hay comentarios:

Publicar un comentario en la entrada