En su ciclo habitual de actualizaciones los segundos martes de cada mes, Microsoft ha anunciado que en esta ocasión se esperan doce boletines de seguridad, ocho dedicados a su sistema operativo Windows y cuatro a Office (uno de ellos compartido entre amos).

Si en enero fueron dos boletines de seguridad que salieron a la luz, este mes Microsoft prevé publicar doce actualizaciones el día doce de febrero. Siete alcanzan la categoría de "críticas" (ejecución remota de código) y otros cinco son calificados como "importantes".

Adicionalmente, y como viene siendo habitual, Microsoft publicará una actualización para Microsoft Windows Malicious Software Removal Tool. Además, se publicarán siete actualizaciones de alta prioridad no relacionadas con la seguridad.

Entre tanta vulnerabilidad, no queda títere con cabeza. De forma muy genérica, Microsoft anuncia que los fallos calificados de críticos afectan a Windows, Office, Works, Visual Basic, VBScript, Jscript, Internet Explorer... y las importantes están relacionadas con una denegación de servicio en el Directorio Activo y elevación de privilegios y ejecución remota de código en IIS, entre otras.

Esta macro-actualización viene (como viene siendo habitual) después de un mes de relativa calma (enero), que se saldó con dos actualizaciones. Doce boletines es uno de los números más altos que ha manejado mensualmente Microsoft. Se alcanzó esta misma cifra en las actualizaciones de febrero de 2007 y en junio y agosto de 2006 (un verano especialmente plagado de fallos de seguridad). Además, cada boletín puede agrupar un número indeterminado de vulnerabilidades.

Sorprende, (y preocupa) especialmente la ejecución remota de código en Internet Information Server (IIS), el servidor web de Microsoft. Al contrario que la versión 5, la versión 6 de IIS (disponible desde Windows 2003), se ha ganado una buena reputación con respecto a la seguridad, con sólo tres vulnerabilidades de gravedad media en toda su historia. Al menos, se supone que su impacto en el caso de ejecución de código sería reducido, puesto que IIS se ejecuta bajo la cuenta de "servicios de red" (NetworkServices).

Los "usuarios" especiales de sistema NetworkServices y LocalService fueron introducidos con XP para la ejecución de muchos servicios de red, y tienen pocos privilegios sobre el resto del sistema operativo. Por el contrario, en Windows 2000, todos los servicios se ejecutan bajo la cuenta SYSTEM, algo que se corrigió en 2003 y XP con la introducción de esas cuentas restringidas. Fue un importante avance con respecto a la seguridad, rebajando los privilegios de los servicios que daban "la cara" a la red. Siguiendo la filosofía fallida anterior (previa a XP), IIS 5 se ejecutaba bajo la cuenta SYSTEM, con total control del sistema. Una potencial vulnerabilidad que derivase en ejecución de código era entonces fatal para el resto del sistema operativo. Hoy en día, en IIS 6 una ejecución de código con permisos de NetworkServices puede al menos no considerarse absolutamente crítica.

Cabe recordar que, en cualquier caso, el adelanto que ofrece Microsoft está sujeto a cambios de última hora.


Más Información:

Microsoft Security Bulletin Advance Notification for February 2008
Microsoft Security Bulletin Advance Notification for February 2008

• Fuente

Aunque inicialmente se habían anunciado doce, finalmente este martes Microsoft "sólo" ha publicado once boletines de seguridad (MS08-003 al MS08-013) dentro de su ciclo habitual de actualizaciones. Según la propia clasificación de Microsoft seis de los boletines presentan un nivel de gravedad "crítico", mientras que los cinco restantes reciben una calificación de "importante".

Microsoft califica como críticas las siguientes actualizaciones:

* MS08-007: Actualización para WebDAV Mini-Redirector de Windows que soluciona una vulnerabilidad que podría ser aprovechada por un atacante remoto para ejecutar código arbitrario.

* MS08-008: En este boletín se trata una vulnerabilidad que podría permitir la ejecución remota de código si un usuario visualiza una página web especialmente creada. La vulnerabilidad puede explotarse a través de ataques en Object Linking and Embedding (OLE) Automation.

* MS08-009: Se trata de la actualización para Microsoft Word para evitar una vulnerabilidad que podría permitir la ejecución remota de código arbitrario.

* MS08-010: Actualización acumulativa para Microsoft Internet Explorer que además soluciona cuatro nuevas vulnerabilidades que podrían permitir la ejecución remota de código arbitrario. Afecta a Internet Explorer 5.01, 6 y 7.

* MS08-012: Esta actualización resuelve dos vulnerabilidades en Microsoft Office Publisher que pueden permitir a un atacante remoto la ejecución de código arbitrario si el usuario abre un archivo de Publisher (.PUB) específicamente creado.

* MS08-013: Esta actualización resuelve una vulnerabilidad en Microsoft Office que podría permitir la ejecución remota de código y obtener completo control del sistema.

Los clasificados como importantes:

* MS08-003: Se trata de una actualización que solventa una vulnerabilidad de denegación de servicio en el directorio activo en Microsoft Windows 2000 Server y Windows Server 2003, y Active Directory Application Mode (ADAM) instalado en Windows XP y Windows Server 2003.

* MS08-004: Corrige una denegación de servicio a través de la implementación TCP/IP en Windows Vista que podría ser aprovechada por un atacante remoto para causar una denegación de servicio.

* MS08-005: Esta actualización resuelve una vulnerabilidad en Internet Information Services (IIS) que podría permitir a un atacante local la ejecución de código y obtener completo control del sistema.

* MS08-006: En este boletín también se trata una vulnerabilidad que afecta a Internet Information Services (IIS) sin embargo en esta ocasión se trata de una vulnerabilidad de ejecución remota de código en la forma en que IIS trata las entradas a páginas web ASP. Un atacante que explote con éxito esta vulnerabilidad podrá llevar a cabo acciones en el servidor IIS con los permisos de Worker Process Identity (WPI).

* MS08-011: En este boletín se ofrece la resolución para tres vulnerabilidades de ejecución remota de código arbitrario en Microsoft Works File Converter. Un atacante puede explotar estas vulnerabilidades si un usuario abre, con una versión afectada de Microsoft Office, Microsoft Works, o Microsoft Works Suite, un archivo Works (.wps) específicamente creado.

Las actualizaciones publicadas pueden descargarse a través de Windows Update o consultando los boletines de Microsoft donde se incluyen las direcciones de descarga directa de cada parche. Dada la gravedad de las vulnerabilidades se recomienda la actualización de los sistemas con la mayor brevedad posible.


Más Información:

Microsoft Security Bulletin Summary for February 2008
http://www.microsoft.com/technet/sec.../ms08-feb.mspx

Microsoft Security Bulletin MS08-003
Vulnerability in Active Directory Could Allow Denial of Service (946538)
http://www.microsoft.com/technet/sec.../ms08-003.mspx

Microsoft Security Bulletin MS08-004
Vulnerability in Windows TCP/IP Could Allow Denial of Service (946456)
Microsoft Security Bulletin MS08-004 – Important: Vulnerability in Windows TCP/IP Could Allow Denial of Service (946456)

Microsoft Security Bulletin MS08-005
Vulnerability in Internet Information Services Could Allow Elevation of Privilege (942831)
Microsoft Security Bulletin MS08-005 – Important: Vulnerability in Internet Information Services Could Allow Elevation of Privilege (942831)

Microsoft Security Bulletin MS08-006
Vulnerability in Internet Information Services Could Allow Remote Code Execution (942830)
Microsoft Security Bulletin MS08-006 – Important: Vulnerability in Internet Information Services Could Allow Remote Code Execution (942830)

Microsoft Security Bulletin MS08-007
Vulnerability in WebDAV Mini-Redirector Could Allow Remote Code Execution (946026)
Microsoft Security Bulletin MS08-007 – Critical: Vulnerability in WebDAV Mini-Redirector Could Allow Remote Code Execution (946026)

Microsoft Security Bulletin MS08-008
Vulnerability in OLE Automation Could Allow Remote Code Execution (947890)
Microsoft Security Bulletin MS08-008 – Critical: Vulnerability in OLE Automation Could Allow Remote Code Execution (947890)

Microsoft Security Bulletin MS08-009
Vulnerability in Microsoft Word Could Allow Remote Code Execution (947077)
Microsoft Security Bulletin MS08-009 - Critical: Vulnerability in Microsoft Word Could Allow Remote Code Execution (947077)

Microsoft Security Bulletin MS08-010
Cumulative Security Update for Internet Explorer (944533)
Microsoft Security Bulletin MS08-010 - Critical: Cumulative Security Update for Internet Explorer (944533)

Microsoft Security Bulletin MS08-011
Vulnerabilities in Microsoft Works File Converter Could Allow Remote Code Execution (947081)
Microsoft Security Bulletin MS08-011 – Important: Vulnerabilities in Microsoft Works File Converter Could Allow Remote Code Execution (947081)

Microsoft Security Bulletin MS08-012
Vulnerabilities in Microsoft Office Publisher Could Allow Remote Code Execution (947085)
Microsoft Security Bulletin MS08-012 - Critical: Vulnerabilities in Microsoft Office Publisher Could Allow Remote Code Execution (947085)

Microsoft Security Bulletin MS08-013
Vulnerability in Microsoft Office Could Allow Remote Code Execution (947108)
Microsoft Security Bulletin MS08-013 – Critical: Vulnerability in Microsoft Office Could Allow Remote Code Execution (947108)

Fuente

Dentro del conjunto de boletines de seguridad de febrero publicado el pasado martes por Microsoft, se cuenta el anuncio (en el boletín MS08-010) de una actualización acumulativa para Internet Explorer; que además solventa un total de cuatro nuevas vulnerabilidades descubiertas en las versiones 5.01, 6 y 7 del navegador.

Las nuevas vulnerabilidades corregidas son:

* Se ha encontrado un problema de seguridad provocado por la forma en la que Internet Explorer interpreta código HTML con ciertas combinaciones de composiciones. Esto podría ser aprovechado por un atacante remoto para ejecutar código arbitrario por medio de una página web especialmente manipulada.

* Existe un problema de seguridad provocado por la forma en la que Internet Explorer trata un método de propiedad. Esto podría ser aprovechado por un atacante remoto para ejecutar código arbitrario por medio de una página web especialmente manipulada.

* Se ha encontrado un problema de seguridad provocado por la forma en la que Internet Explorer maneja la validación de argumentos en el procesado de imágenes. Esto podría ser aprovechado por un atacante remoto para ejecutar código arbitrario por medio de una página web especialmente manipulada.

* Se ha encontrado un problema de seguridad provocado por un componente de Microsoft Fox Pro. Esto podría ser aprovechado por un atacante remoto para ejecutar código arbitrario por medio de una página web especialmente manipulada.

Éste parche de seguridad reemplaza a otro previo (MS07-069) para todas las plataformas y versiones de Internet Explorer.

Actualice los sistemas afectados mediante Windows Update o descargando los parches según versión desde las siguientes direcciones:

* Microsoft Windows 2000 Service Pack 4:

Internet Explorer 5:
Download details: Cumulative Security Update for Internet Explorer 5.01 Service Pack 4 (KB944533)

Internet Explorer 6:
http://www.microsoft.com/downloads/d...-829B4E190359B

Internet Explorer 6:

* Windows XP Service Pack 2:
Download details: Cumulative Security Update for Internet Explorer for Windows XP Service Pack 2 (KB944533)

* Windows XP Professional x64 Edition y Windows XP Professional x64
Edition Service Pack 2:
Download details: Cumulative Security Update for Internet Explorer for Windows XP x64 Edition (KB944533)

* Windows Server 2003 Service Pack 1 y Windows Server 2003 Service
Pack 2:
Download details: Cumulative Security Update for Internet Explorer for Windows Server 2003 (KB944533)

* Windows Server 2003 x64 Edition y Windows Server 2003 x64 Edition
Service Pack 2:
Download details: Cumulative Security Update for Internet Explorer for Windows Server 2003 x64 Edition (KB944533)

* Windows Server 2003 con SP1 para Itanium y Windows Server 2003 con
SP2 para Itanium:
Download details: Cumulative Security Update for Internet Explorer for Windows Server 2003 64-bit Itanium Edition (KB944533)

Internet Explorer 7:

* Windows XP Service Pack 2:
Download details: Cumulative Security Update for Internet Explorer 7 for Windows XP Service Pack 2 (KB944533)

* Windows XP Professional x64 Edition y Windows XP Professional x64
Edition Service Pack 2:
Download details: Cumulative Security Update for Internet Explorer 7 for Windows XP x64 Edition (KB944533)

* Windows Server 2003 Service Pack 1 y Windows Server 2003 Service
Pack 2:
Download details: Cumulative Security Update for Internet Explorer 7 for Windows Server 2003 (KB944533)

* Windows Server 2003 x64 Edition y Windows Server 2003 x64 Edition
Service Pack 2:
Download details: Cumulative Security Update for Internet Explorer 7 for Windows Server 2003 x64 Edition (KB944533)

* Windows Server 2003 con SP1 para Itanium y Windows Server 2003 con
SP2 para Itanium:
Download details: Cumulative Security Update for Internet Explorer 7 for Windows Server 2003 64-bit Itanium Edition (KB944533)

* Windows Vista:
Download details: Cumulative Security Update for Internet Explorer 7 in Windows Vista (KB944533)

* Windows Vista x64 Edition:
Download details: Cumulative Security Update for Internet Explorer 7 in Windows Vista x64 Edition (KB944533)



Más Información:

Boletín de seguridad de Microsoft MS08-010 Crítico
Actualización de seguridad acumulativa para Internet (944533)
Boletín de seguridad de Microsoft MS08-010 – Crítico: Actualización de seguridad acumulativa para Internet (944533)

Fuente