En su ciclo habitual de actualizaciones los segundos martes de cada mes, Microsoft ha anunciado que en esta ocasión se esperan ocho boletines de seguridad. Las actualizaciones afectarían a Windows (dos de ellas), Windows Media Center, Internet Explorer, Visual Basic y a los componentes SharePoint, Word y Excel de Microsoft Office.
Si en octubre fueron tan sólo dos boletines de seguridad los que salieron a la luz, en su último ciclo de actualizaciones del año Microsoft prevé publicar ocho actualizaciones el martes 9 de diciembre. Seis de los boletines están catalogados como «críticos», calificación máxima otorgada por Microsoft. Estos serían los dedicados a Windows, Microsoft Office (Excel y Word), Visual Basic y Visual Studio; junto con la actualización acumulativa para su navegador Internet Explorer. Los dos boletines restantes, referentes a SharePoint y Windows Media Center, han sido calificados como «Importantes».
Adicionalmente, y como viene siendo habitual, Microsoft publicará una actualización para Microsoft Windows Malicious Software Removal Tool. Además, se publicarán actualizaciones de alta prioridad no relacionadas con la seguridad. Como es habitual, cada boletín podrá contener un número indeterminado de correcciones de seguridad.
Es posible que el primer boletín dedicado a Windows trate de resolver el fallo conocido como «token kidnapping», un problema de escalada de privilegios revelado por el investigador argentino Cesar Cerrudo en el mes de abril. La vulnerabilidad afectaría a toda la gama de sistemas operativos mantenidos por ahora (desde Windows 2000 a Windows 2008), y fue reconocida por Microsoft en su boletín de seguridad 951306. Existe un exploit público del fallo, y desde mitad de octubre se tiene constancia de que la vulnerabilidad está siendo explotada activamente.
El segundo boletín para Windows solo afectaría a los sistemas con Windows Vista y Server 2008, pudiendo estar causado por un fallo de diseño en algún nuevo servicio incluido en los sistemas operativos.
Del resto de boletines, conviene destacar el que afecta a SharePoint, ya que se produce en un componente que no suele tener fallos, y además el problema podría estar localizado del lado del servidor.
Hispasec Sistemas publicará puntualmente a través de este boletín información detallada sobre los nuevos parches.
Con estos ocho boletines, y si no hubiera cambios de ultima hora, Microsoft habría publicado un total de 77 en 2008. En 2007 fueron 69 y en 2006 un total de 78.
Hispasec Sistemas publicará puntualmente a través de este boletín información detallada sobre los nuevos parches.
pmolina@hispasec.com
Más información:
Microsoft Security Bulletin Advance Notification for December 2008
http://www.microsoft.com/technet/security/bulletin/ms08-dec.mspx
Microsoft Security Advisory (951306) Vulnerability in Windows Could
Allow Elevation of Privilege
http://www.microsoft.com/technet/security/advisory/951306.mspx
Deja una respuesta