En su ciclo habitual de actualizaciones los segundos martes de cada
mes, Microsoft ha anunciado que en esta ocasión se esperan nueve
boletines de seguridad, seis dedicados a su sistema operativo Windows,
uno a Office, otro compartido entre la suite y el sistema operativo y
por último uno relativo a Virtual PC.
Si en julio fueron seis boletines de seguridad que salieron a la luz,
este mes Microsoft prevé publicar nueve actualizaciones el día 14 de
agosto. Al menos uno para Windows alcanza la categoría de crítico.
Igual para Office, donde el fallo resulta crítico. El de Microsoft
Virtual PC tiene categoría de “importante”.
Adicionalmente, y como viene siendo habitual, Microsoft publicará una
actualización para Microsoft Windows Malicious Software Removal Tool.
Además, se publicarán cuatro actualizaciones de alta prioridad no
relacionadas con la seguridad.
El fallo en el ActiveX de Office descubierto a mediados de junio, del
que existe exploit público y no actualización oficial, no parece estar
siendo explotado de forma masiva. No se sabe si será corregido en esta
ocasión. También se conoce un fallo “compartido” que ha dado que
hablar en los últimos días, y que puede corresponder a uno de los
parches de este mes.
Este problema (descrito en boletines anteriores) se debe a un fallo de
validación de entrada en el manejo de URIs. Direcciones (URIs) de
protocolos como mailto:, nntp:, snews:, telnet:, news:… pueden ser
modificadas para lanzar cualquier programa del sistema en vez del
cliente de correo, por ejemplo. Esto puede ser aprovechado para
ejecutar código arbitrario en vez del programa que debería
gestionarlos si un usuario de Windows, a través de otro programa,
visita una web especialmente manipulada con una URI que contenga el
carácter “%” y termine con extensiones ejecutables como .bat y .cmd.
Para reproducir el problema, Internet Explorer 7 debe estar instalado
en el sistema y (se creía en un principio) era necesario visitar la
página con Firefox, Netscape o Mozilla. Sólo funciona sobre Windows XP
y 2003, no sobre Vista.
Firefox (aunque luego se comprobó que no era el único programa que
podía ser usado como trampolín de la vulnerabilidad) corrigió su parte
del problema en la reciente versión 2.0.0.6, aunque no del todo y de
forma provisional. Parece que es responsabilidad de Microsoft atajar
el fallo de raíz y quizás lo haga con uno de los parches de este
ciclo.
Hispasec Sistemas publicará puntualmente a través de este boletín
información detallada sobre los nuevos parches.
ssantos@hispasec.com
Más información:
Microsoft Security Bulletin Advance Notification for August 2007
http://www.microsoft.com/technet/security/bulletin/ms07-aug.mspx
31/07/2007 Fallos “compartidos” y actualización de productos Mozilla
http://www.hispasec.com/unaaldia/3202
Deja un comentario