En su ciclo habitual de actualizaciones los segundos martes de cada mes, Microsoft ha anunciado que en mayo se esperan cuatro boletines de seguridad, dos dedicados a Office, uno a Windows y otro a los sistemas antivirus de Microsoft (Live OneCare, Antigen, Windows Defender y Forefront Security). Tres son de carácter crítico, o sea, que permiten la ejecución de código arbitrario y una moderada.
Si en abril fueron ocho boletines de seguridad los que salieron a la luz, este mes Microsoft prevé publicar cuatro actualizaciones el día trece de mayo. Tres alcanzan la categoría de «críticas» (ejecución remota de código) y una son «moderadas» para Microsoft.
Adicionalmente, y como viene siendo habitual, Microsoft publicará una actualización para Microsoft Windows Malicious Software Removal Tool. Además, se publicarán actualizaciones de alta prioridad no relacionadas con la seguridad.
En concreto, se sabe que dos boletines estarán dedicados a Office (desde su versión 2000 a 2007), otro a Windows (exceptuando Vista y 2008, que este mes no necesitan actualizaciones) y una denegación de servicio a los sistemas antivirus de Microsoft. Cada boletín podrá contener un número indeterminado de correcciones de seguridad.
Por fin se publicará la actualización para el Jet Database Engine de Microsoft, que procesa archivos MDB de bases de datos. Esta librería (en concreto msjet40.dll) sufre desde hace varios años problemas de seguridad que permiten la ejecución de código. Al descubrirse hace algunas semanas, nuevas formas de aprovechar la vulnerabilidad (a través de archivos DOC) Microsoft se planteó por fin tomar medidas al respecto. Aunque se supo de este problema antes del ciclo de actualización anterior, Microsoft no publicó las actualizaciones en él. Parece que en este lote de mayo sí se solucionará.
Cabe recordar que, en cualquier caso, el adelanto que ofrece Microsoft está sujeto a cambios de última hora.
Hispasec Sistemas publicará puntualmente a través de este boletín información detallada sobre los nuevos parches.
ssantos@hispasec.com
Más información:
Microsoft Security Bulletin Advance Notification for May 2008
http://www.microsoft.com/technet/security/bulletin/ms08-may.mspx
Deja una respuesta