Un mes más y siguiendo la ya conocida política de publicación de
parches, Microsoft ha publicado hoy, segundo martes de julio el
conjunto de parches desarrollados desde el pasado mes. En esta ocasión
los productos para los que se publican nuevas actualizaciones son los
sistemas Windows, Internet Explorer, Internet Information Server 4.0 y
Outlook Express.
Microsoft ha publicado un total de siete boletines, en los que se
hace referencia a otros tantos nuevos parches para corregir fallos
de seguridad en su software. Según la propia clasificación de los
problemas dos de ellos se consideran críticos, mientras que el resto
son clasificados como importantes y un último como moderado.
El primero de los boletines considerados como críticos hace relación
a un desbordamiento de búfer en el administrador de tareas de varias
versiones de Windows. El segundo boletín crítico, hace referencia a
dos nuevas vulnerabilidades, la primera de ellas reside en HTML Help
mientras que la segunda radica en showHelp.
Por otra parte los problemas importantes consisten en una escalada de
privilegios en el Administrador de Utilidades de Windows 2000, una
vulnerabilidad de escaladas de privilegios en el subsistema POSIX de
diversos sistemas Windows y una ejecución remota de código por una
vulnerabilidad en el Shell de Windows. También se describe como
importante una vulnerabilidad de desbordamiento de búfer en Internet
Information Server (IIS) 4.0 y por último una vulnerabilidad de
denegación de servicio en Outlook Express 5.5 y 6 considerada de
riesgo moderado.
Volviendo a los parches de este mes, desde Hispasec, en nuestra
línea, dedicaremos diversos boletines a la descripción detallada
de los mismos, así como cualquier otro incidente destacable que
pueda derivarse por problemas o incompatibilidades con los mismos.
A continuación un listado de las vulnerabilidades y el software
afectado, en el apartado más información puede encontrarse las
direcciones para acceder a los avisos originales de Microsoft y
la descarga de los parches.
* Vulnerabilidad en Administrador de Tareas puede permitir la
ejecución de código (MS04-022)
Afecta a Windows 2000, Windows XP e Internet Explorer 6 instalado
en Windows NT 4.0 SP6a
* Vulnerabilidad en HTML Help puede permitir la ejecución de código
(MS04-023)
Afecta a Windows 2000, Windows XP, Windows Server 2003, Windows 98,
Windows Me e Internet Explorer 6 instalado en Windows NT 4.0 SP6a
* Vulnerabilidad en Administrador de Utilidades puede permitir la
ejecución de código (MS04-019)
Afecta a Windows 2000
* Vulnerabilidad en POSIX puede permitir la ejecución de código
(MS04-020)
Afecta a Windows NT 4.0 y Windows 2000
* Actualización de seguridad para IIS 4.0 (MS04-021)
Afecta a IIS 4.0 sobre Windows NT 4.0
* Vulnerabilidad en el Shell de Windows puede permitir la ejecución
remota de código (MS04-024)
Afecta a Windows NT 4.0, Windows 2000, Windows XP, Windows Server 2003,
Windows 98, y Windows Millennium Edition.
* Actualización de seguridad acumulativa para Outlook Express
(MS04-018)
Afecta a sistemas con Outlook Express 5.5 y 6.0
antonior@hispasec.com
Más información:
MS04-022 – Vulnerability in Task Scheduler Could Allow Code Execution
(841873)
http://www.microsoft.com/technet/security/bulletin/MS04-022.mspx
MS04-023 – Vulnerability in HTML Help Could Allow Code Execution
(840315)
http://www.microsoft.com/technet/security/bulletin/MS04-023.mspx
MS04-019 – Vulnerability in Utility Manager Could Allow Code Execution
(842526)
http://www.microsoft.com/technet/security/bulletin/MS04-019.mspx
MS04-020 – Vulnerability in POSIX Could Allow Code Execution (841872)
http://www.microsoft.com/technet/security/bulletin/MS04-020.mspx
MS04-021 – Security Update for IIS 4.0 (841373)
http://www.microsoft.com/technet/security/bulletin/MS04-021.mspx
MS04-024 – Vulnerability in Windows Shell Could Allow Remote Code
Execution (839645)
http://www.microsoft.com/technet/security/bulletin/MS04-024.mspx
MS04-018 – Cumulative Security Update for Outlook Express (823353)
http://www.microsoft.com/technet/security/bulletin/MS04-018.mspx
Deja una respuesta