En su ciclo habitual de actualizaciones los segundos martes de cada mes, Microsoft ha anunciado que en esta ocasión se esperan seis boletines de seguridad. Tres de las actualizaciones afectan a Windows en general, una a Publisher, una a ISA Server y otra Virtual PC (Server). Parece que corregirá los dos «0 days» activos que mantiene.
Si en junio se publicaron doce boletines que parchearon hasta 31 vulnerabilidades diferentes, este mes Microsoft prevé publicar seis actualizaciones el martes 14 de julio. Tres boletines son críticos, y el resto importantes. De los tres boletines dedicados a Windows, las versiones de XP se llevan la peor parte, pues se ven afectados por todos. Vista y 2008, sin embargo, solo se ven afectados por uno de estos boletines.
Adicionalmente, y como viene siendo habitual, Microsoft publicará una actualización para Microsoft Windows Malicious Software Removal Tool. Además, se publicarán actualizaciones de alta prioridad no relacionadas con la seguridad.
La buena noticia es que en que se confirma que en esta tanda se solucionará la vulnerabilidad CVE-2009-1537, un problema de ejecución de código en DirectShow que Microsoft reconoció a finales de mayo. Sobre la otra vulnerabilidad que está siendo aprovechada por atacantes, CVE-2008-0015 («0 day» destapado hace unos días) Microsoft dice que «nuestros ingenieros han trabajado las 24 horas del día para producir una actualización» y «creen que estará lista con la calidad apropiada» para el martes. Teniendo en cuenta que conocían la vulnerabilidad desde la primavera de 2008, da la impresión de que realmente han realizado en unos días (desde que se hizo pública) el esfuerzo de todo un año.
Microsoft ha reconocido que mientras «estudiaba a fondo» la vulnerabilidad, los atacantes lo descubrieron de forma paralela y comenzaron a explotarla. Son los riesgos de investigar durante más de un año la solución de un desbordamiento de memoria intermedia sin que interfiera en otros elementos del sistema operativo. Es demasiado tiempo, una ventana de riesgo excesivamente amplia. Existen investigadores a tiempo completo, dedicados a la creación de malware, que descubrirán el fallo tarde o temprano. Cuanto más tiempo pase, más posibilidades de que lo hagan. ¿Cuántas vulnerabilidades están siendo aprovechadas sin que lo detectemos mientras estudian una solución? Este problema puede ocurrir con cualquier pieza de software, pero con este incidente Microsoft ha dado a entender que mientras no salten a la luz, la espera puede alargarse considerablemente y no se sienten tan presionados como para solucionarlos lo antes posible, o no les imprimen la prioridad que los problemas se merecen. Si la excusa para el letargo es que «existen otros problemas de seguridad más urgentes que atender», el consuelo es mínimo.
Los parches anunciados están sujetos a cambios, en cualquier caso, con lo que no se garantiza que no se produzcan cambios de última hora.
Hispasec Sistemas publicará puntualmente a través de este boletín información detallada sobre los nuevos parches.
ssantos@hispasec.com
Más información:
Microsoft conocía el último «0 day» desde 2008
http://www.hispasec.com/unaaldia/3911/microsoft-conocia-ultimo-day-desde
0 day en la librería msvidctl.dll de Microsoft Windows
http://www.hispasec.com/unaaldia/3907/day-libreria-msvidctldll-microsoft-windows
Deja una respuesta