Actualización del kernel de Windows contra la vulnerabilidad del troyano Duqu

La vulnerabilidad corregida puede permitir la ejecución remota de código arbitrario, pero además es de especial relevancia al tratarse del problema del que se aprovecha de forma activa el troyano Duqu; sin duda el malware del que más se ha hablado en los últimos meses.

Anteriormente y a la espera de la publicación de este boletín, Microsoft había publicado un aviso de seguridad en el que explicaba contramedidas efectivas para evitar ataques. En el boletín recién publicado, Microsoft también ofrece las medidas necesarias para deshacer dicha solución provisional.

La vulnerabilidad corregida, clasificada con CVE-2011-3402, reside en el tratamiento incorrecto de un archivo de fuentes TrueType específicamente creado. El problema se centra en el controlador de sistema win32k.sys. Un fallo al tratar fuentes TrueType permite que una aplicación eleve privilegios y consiga control total del sistema.

Como ya advertimos anteriormente es importante la actualización de los sistemas afectados debido a que este problema está siendo empleado activamente, además de ser  aprovechable a través de cualquier programa que utilice ciertas fuentes TrueType. Cabe recordar que no solo ejecuta código, sino que lo hace con los máximos privilegios.

La actualización puede descargarse directamente desde el boletín publicado

en función de la versión de Windows o a través de Windows Update.

una-al-dia (02/11/2011) Duqu, más información y algunas dudas

Boletín de seguridad de Microsoft MS11-087 – Crítica

Una vulnerabilidad en los controladores en modo kernel de Windows podría permitir la ejecución remota de código (2639417)

Antonio Ropero

Twitter: @aropero