Fiel a su nueva política de publicación de parches, y tras haber
publicado la esperada actualización de Internet Explorer la pasada
semana, Microsoft ha publicado hoy, segundo martes de febrero el
conjunto de parches desarrollados desde su última actualización en
enero. En esta ocasión los productos para los que se publican nuevas
actualizaciones son sistemas Windows (Windows 2000, NT, XP y 2003) y
Virtual PC for Mac.
Microsoft ha liberado tres nuevos parches para corregir fallos de
seguridad en su software. El primero de los problemas hace relación a
una vulnerabilidad en el soporte que los servidores hacen del servicio
WINS (Windows Internet Naming Service) catalogado con una importancia
desde baja a importante en función de la plataforma afectada.
De importancia crítica se considera la vulnerabilidad en el soporte
del tipo de datos ASN.1 realizado por Windows NT, 2000, XP y Windows
Server 2003 y que puede dar lugar a la ejecución de código remota en
los sistemas afectados. Dentro del conjunto de actualizaciones de
Windows y dado que se ha publicado en el último mes, también incluye
el parche ya publicado para Internet Explorer.
Por último, se informa de una vulnerabilidad en Virtual PC for Mac,
catalogada como importante. Esta aplicación de Microsoft permite a los
usuarios de la plataforma Macintosh hacer uso de programas Windows.
Volviendo a los parches de este mes, desde Hispasec, en nuestra línea,
dedicaremos diversos boletines a la descripción detallada de los
mismos, así como cualquier otro incidente destacable que pueda
derivarse por problemas o incompatibilidades con los mismos.
A continuación un listado de las vulnerabilidades y el software
afectado, en el apartado más información puede encontrarse las
direcciones para acceder a los avisos originales de Microsoft y la
descarga de los parches.
* Actualización acumulativa de seguridad para Internet Explorer
(MS04-004)
Afecta a Windows NT Workstation 4.0, Windows NT Server 4.0 Service
Pack 6a, Windows NT Server 4.0 Terminal Server, Windows 2000, Windows
XP y Windows Server 2003.
* Vulnerabilidad en ASN .1 puede permitir la ejecución de código
(MS04-007)
Afecta a Windows NT Workstation 4.0, Windows NT Server 4.0, Windows
NT Server 4.0 Terminal Server, Windows 2000, Windows XP y Windows
Server 2003.
* Vulnerabilidad en Windows Internet Naming Service (WINS) puede
permitir la ejecución de código (MS04-006)
Afecta a Microsoft Windows NT Server 4.0, Windows NT Server 4.0
Terminal Server, Windows 2000 Server, y Windows Server 2003.
* Vulnerabilidad en Virtual PC for Mac puede provocar elevación de
privilegios (MS04-005)
Afecta a Microsoft Virtual PC for Mac versiones 6.0, 6.01, 6.02 y
6.1.
antonior@hispasec.com
Más información:
MS04-004 – Cumulative Security Update for Internet Explorer (832894)
http://www.microsoft.com/technet/security/bulletin/ms04-004.asp
MS04-007 – ASN .1 Vulnerability Could Allow Code Execution (828028)
http://www.microsoft.com/technet/security/bulletin/ms04-007.asp
MS04-006 – Vulnerability in the Windows Internet Naming Service (WINS)
http://www.microsoft.com/technet/security/bulletin/ms04-006.asp
MS04-005 – Vulnerability in Virtual PC for Mac could lead to privilege
elevation (835150)
http://www.microsoft.com/technet/security/bulletin/ms04-005.asp
una-al-dia (03/02/2004) Microsoft corrige la vulnerabilidad de
falsificación de URLs en Internet Explorer
http://www.hispasec.com/unaaldia/1927
Deja una respuesta