En su ciclo habitual de actualizaciones los segundos martes de cada mes,
Microsoft ha anunciado que en esta ocasión se esperan tres parches de
seguridad, dos destinados a su sistema operativo Windows y otro a su
sistema de correo Exchange.
Si en abril fueron cinco los boletines de seguridad, este mes son sólo
tres las actualizaciones que prevé publicar Microsoft el día 9 de mayo.
De los dos para el sistema operativo, alguno alcanza el estado de
crítico, lo que supone que la vulnerabilidad es aprovechable sin
interacción del usuario y permite tomar el control del sistema si se
ejecuta con privilegios de administrador. El destinado a Exchange,
también se describe como de peligrosidad crítica.
Esta última actualización incluirá un cambio de funcionalidad ya
discutido en la base de conocimientos de Microsoft (Microsoft Knowledge
Base) en el artículo 912918, por lo que se recomienda a los
administradores que estudien este artículo y evalúen convenientemente y
con antelación el potencial impacto de la aplicación del parche.
Como es habitual, las actualizaciones requerirán reiniciar el sistema y
se publicará además una actualización para la herramienta antispyware de
Microsoft «Malicious Software Removal Tool».
No se sabe si estas actualizaciones solventarán las «cuentas pendientes»
que Microsoft tiene con Internet Explorer, que ahora mismo sufre tres
vulnerabilidades públicas no parcheadas. Dos de ellas tienen como base
un fallo de corrupción en la memoria a la hora de procesar scripts HTML
manipulados con etiquetas OBJECT especialmente formadas. Michal Zlewski
hizo público el descubrimiento de una primera vulnerabilidad con la
posibilidad de hacer que el navegador dejase de funcionar, pero no
estaba claro si era posible ejecutar a partir de ahí código arbitrario.
Cuando por fin se creía haber encontrado una forma de ejecutar código
aprovechando el hallazgo original realizado por Zlewski, lo que en
realidad se había descubierto era una variante que puede considerarse
como vulnerabilidad casi independiente.
Aparte de estos dos errores basados en una misma raíz, existe un fallo
en el manejador mhtml, que puede ser aprovechado para revelar
información sensible.
Hispasec Sistemas publicará puntualmente a través de este boletín
información detallada sobre los nuevos parches.
ssantos@hispasec.com
Más información:
Microsoft KB912918
http://support.microsoft.com/kb/912918/en-us
Internet Explorer Security Problems Multiply
http://www.eweek.com/article2/0,1895,1956072,00.asp
Microsoft Security Bulletin Advance Notification
http://www.microsoft.com/technet/security/bulletin/advance.mspx
Deja una respuesta