Tal y como adelantamos, este semana Microsoft ha publicado nueve
boletines de seguridad (MS07-042 al MS07-050) dentro de su ciclo
habitual de actualizaciones. Según la propia clasificación de
Microsoft seis de los boletines presentan un nivel de gravedad
“crítico”, mientras que los tres restantes se catalogan como
“importantes”.
Los catalogadas por Microsoft como críticos:
* MS07-042: Resuelve una vulnerabilidad en Microsoft XML Core Services
que puede permitir la ejecución remota de código si un usuario visita
con Internet Explorer una página web especialmente diseñada a tal
efecto.
* MS07-043: Similar a la anterior, la vulnerabilidad resuelta puede ser
explotada a través de la vinculación e incrustación de objetos (OLE),
y puede permitir la ejecución remota de código al visitar una página
web diseñada al efecto.
* MS07-044: Actualización que corrige una vulnerabilidad que permitía
la ejecución remota código al abrir un archivo de Excel especialmente
diseñado.
* MS07-045: Esta actualización resuelve tres vulnerabilidades en
Internet Explorer que permiten la ejecución remota de código al visitar
una página web diseñada al efecto.
* MS07-046: Resuelve vulnerabilidad en el motor de representación de
gráficos (GDI) al procesar determinadas imágenes, que podía ser
aprovechada por un atacante para ejecutar código de forma remota si
la víctima abre un archivo especialmente diseñado.
* MS07-050: Actualización de seguridad para vulnerabilidad en la
implementación del lenguaje de marcado vectorial (VML) en Windows.
Podría ser aprovechada para la ejecución de código remota si el
usuario visita con Internet Explorer una página web diseñada al
efecto.
Los catalogadas por Microsoft como importantes:
* MS07-047: Actualización que corrige dos vulnerabilidades en el
reproductor de Windows Media que podrían ser aprovechadas para la
ejecución remota de código.
* MS07-048: Actualización que corrige dos vulnerabilidades en gadgets
de Windows Vista que permitiría la ejecución de remota de código si el
usuario se suscribe a una fuente RSS maliciosa del gadget Encabezados
de la fuente, ha agregado un archivo de contactos malintencionado en
el gadget Contactos o ha hecho clic en un vínculo malicioso del gadget
El tiempo.
* MS07-049: Esta actualización corrige dos importantes
vulnerabilidades en Virtual PC y Virtual Server que podrían permitir
la elevación de privilegios. Un usuario del sistema operativo invitado
con permisos de administrador podría ejecutar código en el sistema
operativo host o en otros sistemas operativos invitados.
Las actualizaciones publicadas pueden descargarse a través de Windows
Update o consultando los boletines de Microsoft donde se incluyen las
direcciones de descarga directa de cada parche. Dada la gravedad de
las vulnerabilidades se recomienda la actualización de los sistemas
con la mayor brevedad posible.
laboratorio@hispasec.com
Más información:
Boletín de seguridad de Microsoft MS07-042 – Crítico
http://www.microsoft.com/spain/technet/security/Bulletin/MS07-042.mspx
Boletín de seguridad de Microsoft MS07-043 – Crítico
http://www.microsoft.com/spain/technet/security/Bulletin/MS07-043.mspx
Boletín de seguridad de Microsoft MS07-044 – Crítico
http://www.microsoft.com/spain/technet/security/Bulletin/MS07-044.mspx
Boletín de seguridad de Microsoft MS07-045 – Crítico
http://www.microsoft.com/spain/technet/security/Bulletin/MS07-045.mspx
Boletín de seguridad de Microsoft MS07-046 – Crítico
http://www.microsoft.com/spain/technet/security/Bulletin/MS07-046.mspx
Boletín de seguridad de Microsoft MS07-050 – Crítico
http://www.microsoft.com/spain/technet/security/Bulletin/MS07-050.mspx
Boletín de seguridad de Microsoft MS07-047 – Importante
http://www.microsoft.com/spain/technet/security/Bulletin/MS07-047.mspx
Boletín de seguridad de Microsoft MS07-048 – Importante
http://www.microsoft.com/spain/technet/security/Bulletin/MS07-048.mspx
Boletín de seguridad de Microsoft MS07-049 – Importante
http://www.microsoft.com/spain/technet/security/Bulletin/MS07-049.mspx
Deja un comentario