En su ciclo habitual de actualizaciones los segundos martes de cada mes,
Microsoft ha anunciado que en esta ocasión se esperan doce parches de
seguridad, nueve destinados a su sistema operativo Windows, uno a
Exchange y dos a su suite ofimática Office.
Si en mayo fueron tres los boletines de seguridad, este mes han
aumentado hasta doce las actualizaciones que prevé publicar Microsoft el
día 12 de junio. De los nueve para el sistema operativo, alguno alcanza
el estado de crítico, lo que supone que la vulnerabilidad es
aprovechable sin interacción del usuario y permite tomar el control del
sistema. El destinado a Exchange se describe como de peligrosidad
importante. Para Microsoft Office, al menos uno de los dos parches se
considera también crítico. Como es habitual, las actualizaciones
requerirán reiniciar el sistema.
Se espera que una de estas actualizaciones para Microsoft Office será
para el fallo crítico que existe en Word, y del que se ha hablado
anteriormente en este boletín. A mediados de mayo, se encontraba una
vulnerabilidad en Microsoft Word que podía ser aprovechada por atacantes
para comprometer el sistema. El fallo era causado por un error no
especificado que puede derivar en la ejecución de código arbitrario.
Debido a que el problema estaba siendo activamente aprovechado y no
existía parche oficial, se convirtió en un «0 day», lo que ha supuesto
un importante problema de seguridad. Microsoft reconoció la
vulnerabilidad pero afortunadamente, la discreción de los descubridores
ha permitido que no haya sido aprovechada en masa con lo que el impacto
conocido ha sido escaso. Sin embargo, una vez se apliquen técnicas de
ingeniería inversa al parche que será publicado el próximo martes, se
prevé la aparición de malware destinado a aprovechar la vulnerabilidad
cuando se conozcan los detalles.
Es probable que también, por fin, se publique este mes solución al grave
fallo de seguridad que el navegador Internet Explorer arrastra desde
finales de abril. Se identificó una vulnerabilidad que podía ser
aprovechada por atacantes para ejecutar código arbitrario. El fallo se
debe a una corrupción en la memora a la hora de procesar scripts HTML
manipulados. Si el código contiene etiquetas OBJECT especialmente
formadas, el navegador dejaría de funcionar y quedaría en disposición de
inyectar código y poder ser ejecutado. También en este caso, la
discreción de los investigadores ha permitido que no se hayan reportado
incidentes relacionados con la vulnerabilidad.
Para el resto de parches no se tienen mayores detalles.
Hispasec Sistemas publicará puntualmente a través de este boletín
información detallada sobre los nuevos parches.
ssantos@hispasec.com
Más información:
MSIE (mshtml.dll) OBJECT tag vulnerability
http://lists.grok.org.uk/pipermail/full-disclosure/2006-April/045422.html
Microsoft Security Bulletin Advance Notification
http://www.microsoft.com/technet/security/bulletin/advance.mspx
Detalles sobre la vulnerabilidad de Microsoft Word
http://www.hispasec.com/unaaldia/2768
Deja un comentario