• Registrarse
  • Iniciar sesión


  • Resultados 1 al 8 de 8

    4 boletines de seguridad Microsoft Febrero 2009

    Microsoft ha anunciado que en esta ocasión se esperan cuatro boletines de seguridad. Las actualizaciones afectarían a Internet Explorer, Microsoft Exchange Server, Microsoft SQL Server y Microsoft Office Si en enero se publicó un sólo ...

          
    1. #1
      Usuario Avatar de kontainer
      Registrado
      jul 2005
      Ubicación
      V
      Mensajes
      1.374

      Atención 4 boletines de seguridad Microsoft Febrero 2009

      Microsoft ha anunciado que en esta ocasión se esperan cuatro boletines de seguridad. Las actualizaciones afectarían a Internet Explorer, Microsoft Exchange Server, Microsoft SQL Server y Microsoft Office

      Si en enero se publicó un sólo boletín de seguridad, este mes Microsoft prevé publicar un total de cuatro actualizaciones el martes 10 de febrero. Dos de ellas, las dedicadas a la versión 7 de Internet Explorer y al servidor Exchange, alcanzan la categoría de críticas, mientras que las otras dos, referentes al servidor de SQL y al software gráfico Visio de Office, están catalogadas como importantes.

      Adicionalmente, y como viene siendo habitual, Microsoft publicará una actualización para Microsoft Windows Malicious Software Removal Tool. Además, se publicarán actualizaciones de alta prioridad no relacionadas con la seguridad.

      Dada la coincidencia de versiones afectadas, se especula con que el boletín dedicado a SQL Server se encargaría de solventar una vulnerabilidad reconocida por Microsoft el pasado 22 de diciembre, y de la que se han detectado exploits circulando por la red.

      Según se puede apreciar en la descripción de la vulnerabilidad publicada por Bernhard Mueller (SEC Consult) el pasado 12 de diciembre, el fallo estaría causado por un error al comprobar los parámetros en el procedimiento "sp_replwritetovarbin" y podría ser aprovechado para la ejecución remota de código.

      Un portavoz de Microsoft ha confirmado que la compañía estaba al tanto de la vulnerabilidad desde el pasado mes de abril y el propio Mueller afirma haber recibido una notificación de Microsoft en septiembre informándole de que el parche estaba listo.

      Como es habitual, cada boletín podrá contener un número indeterminado de correcciones de seguridad y hay que señalar que, en cualquier caso, el adelanto que ofrece Microsoft está sujeto a cambios de última hora.

      Hispasec Sistemas publicará puntualmente a través de este boletín información detallada sobre los nuevos parches.



      Más Información:

      Microsoft Security Bulletin Advance Notification for February 2009
      http://www.microsoft.com/technet/sec.../ms09-feb.mspx

      Microsoft Security Advisory (961040)
      Vulnerability in SQL Server Could Allow Remote Code Execution
      http://www.microsoft.com/technet/sec...ry/961040.mspx

      Microsoft SQL Server sp_replwritetovarbin limited memory overwrite vulnerability
      http://www.sec-consult.com/files/200...n_memwrite.txt

      Fuente

    2. #2
      Usuario Avatar de kontainer
      Registrado
      jul 2005
      Ubicación
      V
      Mensajes
      1.374

      Atención 4 boletines de seguridad Microsoft Febrero 2009

      Microsoft ha publicado cuatro boletines de seguridad (del MS09-002 y MS09-005) correspondientes a su ciclo habitual de actualizaciones, que corrigen un total de ocho vulnerabilidades. Según la propia clasificación de Microsoft dos de los boletines presentan un nivel de gravedad "crítico", mientras que los dos restantes son "importantes".

      Los boletines "críticos" son:

      * MS09-002: Actualización acumulativa para Microsoft Internet Explorer que además soluciona dos nuevas vulnerabilidades que podrían permitir la ejecución remota de código arbitrario. Afecta a Internet Explorer 5.01, 6 y 7.

      * MS09-003: Este boletín de seguridad resuelve dos vulnerabilidades en Microsoft Exchange Server. Una de ellas permitiría la ejecución remota de código si un usuario envía un mensaje TNEF específicamente creado. La segunda vulnerabilidad consistiría en una denegación de servicio. Afecta a Exchange Server 2000, 2003 y 2007.

      Los dos boletines "importantes" son:

      * MS09-004: Actualización destinada a corregir una vulnerabilidad en Microsoft SQL Server que podría permitir la ejecución remota de código.

      * MS09-005: Actualización que resuelve tres vulnerabilidades en Microsoft Office Visio que podrían permitir la ejecución remota de código si un usuario abre un archivo de Visio maliciosamente manipulado. Afecta a Microsoft Office Visio 2002, 2003 y 2007.

      Las actualizaciones publicadas pueden descargarse a través de Windows Update o consultando los boletines de Microsoft donde se incluyen las direcciones de descarga directa de cada parche. Dada la gravedad de las vulnerabilidades se recomienda la actualización de los sistemas con la mayor brevedad posible.



      Más Información:

      Microsoft Security Bulletin Summary for February 2009
      http://www.microsoft.com/technet/sec.../ms09-feb.mspx

      Microsoft Security Bulletin MS09-002 - Critical
      Cumulative Security Update for Internet Explorer
      http://www.microsoft.com/technet/sec.../MS09-002.mspx

      Microsoft Security Bulletin MS09-003 - Critical
      Vulnerabilities in Microsoft Exchange Could Allow Remote Code Execution
      Microsoft Security Bulletin MS09-003 - Critical: Vulnerabilities in Microsoft Exchange Could Allow Remote Code Execution (959239)

      Microsoft Security Bulletin MS09-004 - Important
      Vulnerability in Microsoft SQL Server Could Allow Remote Code Execution
      Microsoft Security Bulletin MS09-004 - Important: Vulnerability in Microsoft SQL Server Could Allow Remote Code Execution (959420)

      Microsoft Security Bulletin MS09-005 - Important
      Vulnerabilities in Microsoft Office Visio Could Allow Remote Code Execution
      Microsoft Security Bulletin MS09-005 - Important: Vulnerabilities in Microsoft Office Visio Could Allow Remote Code Execution (957634)



      Fuente

    3. #3
      Ex-Colaborador Avatar de MarinTai
      Registrado
      nov 2007
      Ubicación
      Barcelona
      Mensajes
      5.233

      Re: 4 boletines de seguridad Microsoft Febrero 2009

      kontainer, gracias por la información

      Salu2
      <Una gran victoria conlleva un gran sacrificio>

      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las últimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por privados ni por e-mail, ya que para eso está el foro.

    4. #4
      Usuario Avatar de kontainer
      Registrado
      jul 2005
      Ubicación
      V
      Mensajes
      1.374

      Articulo Actualización acumulativa para Microsoft Internet Explorer

      Dentro del conjunto de boletines de seguridad de diciembre publicado el pasado martes por Microsoft y se cuenta el anuncio (en el boletín MS09-002) de una actualización acumulativa para Internet Explorer 7; que además solventa dos nuevas vulnerabilidades.

      La primera de las vulnerabilidades corregidas se trata de un fallo que tenía lugar al intentar acceder a un objeto previamente borrado. Esto provocaría un intento de acceso a memoria no inicializada, lo que podría permitir a un atacante remoto ejecutar código arbitrario con los mismos permisos del usuario que visita una página web especialmente manipulada.

      También se ha corregido un fallo en la forma en la que Internet Explorer muestra una página web que contiene ciertos estilos CSS. Esto podría permitir a un atacante remoto ejecutar código arbitrario con los mismos permisos del usuario a través de una página web especialmente manipulada.

      Este parche sustituye a los parches anteriores (MS08-073 y MS08-078). Se recomienda actualizar el navegador mediante Windows Update o descargando los parches según plataforma desde la página del boletín de seguridad.



      Más Información:

      Boletín de seguridad de Microsoft MS09-002 - Crítico
      Actualización de seguridad acumulativa para Internet Explorer http://www.microsoft.com/spain/techn.../ms09-002.mspx


      Fuente

    5. #5
      Usuario Avatar de kontainer
      Registrado
      jul 2005
      Ubicación
      V
      Mensajes
      1.374

      Articulo Re: 4 boletines de seguridad Microsoft Febrero 2009

      En el boletín MS09-003 actualización para servidores Exchange destinado a corregir dos nuevas vulnerabilidades, que podrían permitir a un atacante remoto ejecutar código arbitrario o causar una denegación de servicio.

      La primera vulnerabilidad está causada por un error de corrupción de memoria causada por un fallo en la forma en la que Microsoft Exchange Server decodifica los datos de un mensaje en formato TNEF (Transport Neutral Encapsulation Format). El error podría ser aprovechado por un atacante remoto para ejecutar código arbitrario si el usuario abriese un mensaje TNEF especialmente manipulado.

      La segunda vulnerabilidad está causada por un error en la forma en la que EMSMDB32 (Electronic Messaging System Microsoft Data Base, 32 bit build) maneja comandos MAPI no válidos. El error podría ser aprovechado por un atacante remoto, por medio de un comando MAPI especialmente manipulado enviado al servidor Exchange, para causar que los distintos servicios que hagan uso de EMSMDB32 dejen de responder.

      Los problemas afectan a Exchange 2000 Server, Exchange Server 2003 y Exchange Server 2007. Además este parche sustituye al parche anterior (MS08-039) en los sistemas Microsoft Exchange Server 2007 Service Pack 1.

      Se recomienda actualizar los sistemas afectados mediante Windows Update o descargando los parches según versión desde la página del boletín de seguridad.



      Más Información:

      Microsoft Security Bulletin MS09-003 - Critical
      Vulnerabilities in Microsoft Exchange Could Allow Remote Code Execution http://www.microsoft.com/technet/sec.../ms09-003.mspx

      Fuente

    6. #6
      Usuario Avatar de Agrevio
      Registrado
      oct 2007
      Ubicación
      Peru
      Mensajes
      1.560

      Re: 4 boletines de seguridad Microsoft Febrero 2009

      Gracias por la información kontainer,

      Solo una pregunta... sabes si el parche del SQL se refiere a una versión exacta (digamos 2000, 2005...) o es en si a la familia SQL...

      Saludos...!!

    7. #7
      Usuario Avatar de kontainer
      Registrado
      jul 2005
      Ubicación
      V
      Mensajes
      1.374

      Bien Re: 4 boletines de seguridad Microsoft Febrero 2009

      @ Agevio
      es para versiones 2000 y 2005 nada +
      saludos.

    8. #8
      Usuario Avatar de Agrevio
      Registrado
      oct 2007
      Ubicación
      Peru
      Mensajes
      1.560

      Re: 4 boletines de seguridad Microsoft Febrero 2009

      Gracias por la aclaración amigo...

      Saludos...!!