En su ciclo habitual de actualizaciones los segundos martes de cada mes,
Microsoft ha anunciado que en esta ocasión se esperan seis boletines de
seguridad, cinco destinados a su sistema operativo Windows, y uno
destinado al control ActiveX vulnerable de XML Core Services.
Si en octubre fueron diez los boletines de seguridad (aunque previamente
se anunciaron once), este mes son seis las actualizaciones que prevé
publicar Microsoft el día 14 de noviembre. De los cinco para el sistema
operativo, alguno alcanza el estado de crítico. El boletín para XML
Core Services también alcanza ese rango. Como es habitual, las
actualizaciones requerirán reiniciar el sistema, y algunos boletines
podrán reparar más de un error.
Llama la atención que se especifique claramente que se va a corregir
la vulnerabilidad en XML Core Services descubierta el 4 de noviembre
y de la que circulan ya numerosos exploits públicos. Normalmente no
se ofrecen demasiados detalles sobre lo que se va a corregir y lo que
no. En octubre, por ejemplo, se corrigió una vulnerabilidad (según el
boletín MS06-061) también en XML Core Services (versión 3.0, en este
caso) y no fue diferenciada en su nota de avance, sino que se incluyó
como una corrección más para el sistema operativo. Quizás sea una forma
de «tranquilizar» a los afectados, para que no queden dudas sobre si la
grave vulnerabilidad será corregida o no.
Se trata de un fallo en el control ActiveX de XMLHTTP 4.0 (librería
msxml4.dll) concretamente en la función setRequestHeader. Microsoft XML
Core Services (MSXML) permite comunicación XML estándar a JScript,
VBScript (lenguajes propietarios de Microsoft que utiliza Internet
Explorer, principal vector de ataque para esta vulnerabilidad) y a
Visual Studio 6.0.
También se espera que corrija otra grave vulnerabilidad encontrada en
Visual Studio 2005 y que afecta a la librería WmiScriptUtils.dll (sólo
se podría ser vulnerable si se tiene esta librería instalada). Aunque
la forma de aprovechar esta vulnerabilidad no es tan «popular» como la
anterior, de este problema también se han detectado ataques que intentan
aprovecharla.
Es de esperar que por primera vez, se distribuyan parches oficiales
para Internet Explorer 7.
Hispasec Sistemas publicará puntualmente a través de este boletín
información detallada sobre los nuevos parches.
ssantos@hispasec.com
Más información:
Vulnerability in Microsoft XML Core Services Could Allow Remote Code
Execution:
http://www.microsoft.com/technet/security/advisory/927892.mspx
Vulnerability in Visual Studio 2005 Could Allow Remote Code Execution:
http://www.microsoft.com/technet/security/advisory/927709.mspx
Advance bulletin:
http://www.microsoft.com/technet/security/bulletin/advance.mspx
Deja una respuesta