En su ciclo habitual de actualizaciones los segundos martes de cada mes, Microsoft ha anunciado que en esta ocasión se esperan dos boletines de seguridad. Afectan a toda la gama del sistema operativo Windows y Office además de Microsoft Visual Basic for Applications. Pueden contener un número indeterminado de vulnerabilidades.
Si en abril se publicaron 11 boletines de seguridad dentro del ciclo habitual, este mes Microsoft prevé publicar sólo dos el próximo 11 de mayo. Se confirma la tendencia que últimamente sigue Microsoft, en la que un mes se publican entre más de diez boletines y al siguiente ciclo suelen hacerse públicos apenas 2 ó 4. Se consideran críticos los dos, (aunque como viene siendo habitual, en Windows Vista, 7 y 2008, el impacto es menor que en el resto de sistemas operativos). Recalcar también que 2008 y 7, no son vulnerables por defecto. Entre las mejoras de seguridad introducidas en estas versiones, la nueva política de “seguridad por defecto” que tan mal aplicó Microsoft desde sus inicios (o que directamente, obvió), está dando resultados.
Adicionalmente, y como viene siendo habitual, Microsoft publicará una actualización para Microsoft Windows Malicious Software Removal Tool. Además, se publicarán actualizaciones de alta prioridad no relacionadas con la seguridad.
Parece que Microsoft no dará solución en esta tanda al problema de seguridad encontrado en SharePoint Server 2007 y Windows SharePoint Services 3.0. Hace pocas semanas, la empresa “High-Tech Bridge” publicó un fallo que afectaba a estos productos. Se trata e un cross-site scripting no persistente. Aunque en un principio no pueda parecer un problema grave, si la víctima visita un enlace enviado por el atacante, éste podría llegar a obtener sus privilegios de acceso al sitio SharePoint.
En este tipo de ataques la persona que lo perpetra realmente no consigue la contraseña de su víctima. En la suplantación de identidad que se lleva a cabo a través de los cross site scriptings no permanentes, normalmente la víctima visita un enlace al sitio SharePoint real, pero con unos parámetros en la URL especialmente manipulados con JavaScript. Al visitarlo, la víctima está enviando inadvertidamente la cookie de sesión al atacante. Éste solo debe visitar la página con la cookie de sesión de su víctima (lo que le permitirá entrar como si fuera él mientras no expire) y a continuación podrá cambiar la contraseña y bloquear el acceso al dueño legítimo.
Los parches anunciados están sujetos a cambios, por tanto, no se garantiza que no se produzcan cambios de última hora.
ssantos@hispasec.com
Más información:
Microsoft Security Bulletin Advance Notification for May 2010
http://www.microsoft.com/technet/security/bulletin/ms10-may.mspx
Deja un comentario