En su ciclo habitual de actualizaciones los segundos martes de cada mes, Microsoft ha anunciado que en esta ocasión se esperan siete boletines de seguridad, seis dedicados a su sistema operativo Windows y uno al navegador Internet Explorer.
Si en noviembre fueron dos boletines de seguridad que salieron a la luz, este mes Microsoft prevé publicar siete actualizaciones el día 11 de diciembre. Al menos uno de los dedicados a Windows alcanzan la categoría de «crítico» (ejecución remota de código). El otro dedicado a Internet Explorer también resulta crítico (probablemente se trate un parche acumulativo).
Los fallos parecen estar relacionados con DirectX (versión de 7.0 a 10.0), Windows Media Format Run-Time (versión de 7.1 a 11) y Windows Media Services 9.1. Estos servicios son usados por aplicaciones como Windows Media Player.
Adicionalmente, y como viene siendo habitual, Microsoft publicará una actualización para Microsoft Windows Malicious Software Removal Tool.
No se sabe si este lote corregirá una vulnerabilidad de carácter leve reconocida por la propia Microsoft el 3 de diciembre. Se encontró un fallo en la funcionalidad Microsoft Web Proxy Auto-Discovery que podría ser aprovechado por un atacante remoto para perpetrar ataques de man-in-the-middle. Microsoft Web Proxy Auto-Discovery resuelve de forma incorrecta los nombres de dominio para localizar un servidor Web Proxy Auto-Discover (WPAD). Ésto podría ser aprovechado por un atacante remoto para alojar un servidor WPAD provocando que el cliente WPAD lo use inadvertidamente y resolver así hacia servidores incorrectos.
Hispasec Sistemas publicará puntualmente a través de este boletín información detallada sobre los nuevos parches.
ssantos@hispasec.com
Más información:
Vulnerability in Web Proxy Auto-Discovery (WPAD) Could Allow Information
Disclosure
http://www.microsoft.com/technet/security/advisory/945713.mspx
Microsoft Security Bulletin Advance Notification
http://www.microsoft.com/technet/security/Bulletin/advance.mspx
Deja una respuesta