En su ciclo habitual de actualizaciones los segundos martes de cada mes, Microsoft ha anunciado que en esta ocasión se esperan cuatro boletines de seguridad, uno destinado a su sistema operativo Windows, y tres a la suite ofimática Office.

Si en diciembre fueron siete los boletines de seguridad, este mes son cuatro las actualizaciones que prevé publicar Microsoft mañana 9 de enero. El boletín para el sistema operativo alcanza el estado de crítico, también alguno de los tres para Office. Como es habitual, las actualizaciones requerirán reiniciar el sistema, y algunos boletines podrán reparar más de un error.

Estos son los datos que se tienen a día de hoy, si bien previamente se habían anunciado para este mismo día hasta ocho boletines de seguridad, cuatro destinados a Office, uno a Visual Studio y el resto a Windows. Parece que poco después del anuncio el número se ha reducido considerablemente. Microsoft siempre advierte que el número de boletines anunciado obedece a una simple estimación y que es susceptible de ser modificado en cualquier momento.

Si se confirman estas cifras, esta sería una de las primeras ocasiones en las que el número de parches para la suite ofimática Office superase a los destinados al sistema operativo Windows, lo que confirma que el paquete se ha convertido en uno de los objetivos favoritos de atacantes, y un método difusor de malware muy utilizado.


Se publicará puntualmente a través de este boletín información detallada sobre los nuevos parches.....

Microsoft comienza el año con la publicación de cuatro boletines de seguridad (numerados del MS07-001 al MS07-004).

Según la propia clasificación de Microsoft tres de los nuevos boletines presentan un nivel de gravedad "crítico", mientras que el restante recibe la calificación de "importante".

* MS07-001: El primer boletín del año ofrece una actualización para
Microsoft Office por un problema en el corrector de gramática de Brasileño-Portugués que podría permitir la ejecución de código arbitrario. Según la calificación de Microsoft está calificado como "importante". Afecta a Office 2003.

* MS07-002: Soluciona cinco vulnerabilidades en Microsoft Excel que
pueden permitir a un atacante remoto lograr la ejecución de código arbitrario. Está calificado como "crítico". Afecta a Microsoft Excel y Office en sus versiones 2000, 2002 y 2003.

* MS07-003: Destinado a solucionar tres vulnerabilidades en Microsoft
Office que pueden permitir a un atacante remoto ejecutar código arbitrario. Según la calificación de Microsoft está valorado como "crítico". Afecta a Office 2000, 2002 y 2003.

* MS07-004: Se trata de una actualización para Microsoft Windows debido a que se ha detectado una vulnerabilidad en Vector Markup Language (VML) que puede permitir la ejecución de código arbitrario. También recibe una calificación de "crítico". Afecta a Windows 2000, XP y Windows Server 2003 y a Internet Explorer 5.x, 6 y 7.

Las actualizaciones publicadas pueden descargarse a través de Windows Update o consultando los boletines de Microsoft donde se incluyen las direcciones de descarga directa de cada parche.


Más información:

Microsoft Security Bulletin Summary for January, 2007
Microsoft Security Bulletin Summary for January, 2007

Microsoft Security Bulletin MS07-001
Vulnerability in Microsoft Office 2003 Brazilian Portuguese Grammar Checker Could Allow Remote Code Execution
Microsoft Security Bulletin MS07-001: Vulnerability in Microsoft Office 2003 Brazilian Portuguese Grammar Checker That Could Allow Remote Code Execution (921585)

Microsoft Security Bulletin MS07-002
Vulnerabilities in Microsoft Excel Could Allow Remote Code Execution
Microsoft Security Bulletin MS07-002: Vulnerabilities in Microsoft Excel Could Allow Remote Code Execution (927198)

Microsoft Security Bulletin MS07-003
Vulnerabilities in Microsoft Outlook Could Allow Remote Code Execution
Microsoft Security Bulletin MS07-003: Vulnerabilities in Microsoft Outlook Could Allow Remote Code Execution (925938)

Microsoft Security Bulletin MS07-004
Vulnerability in Vector Markup Language Could Allow Remote Code Execution
Microsoft Security Bulletin MS07-004: Vulnerability in Vector Markup Language Could Allow Remote Code Execution (929969)

Fuente

Después de anunciar ocho boletines de seguridad, el número real se ha reducido a la mitad. Los parches de Microsoft de este mes han dejado sin solución (entre otras) tres vulnerabilidades graves en Microsoft Word, presumiblemente incluidos entre los ocho originales que se anunciaron pero que no fueron publicados finalmente.

Los parches publicados el pasado martes solventan, como fue anunciado a última hora, diez vulnerabilidades agrupadas en cuatro boletines. Los que salen peor parados son los componentes de Office, Outlook y Excel, con nueve vulnerabilidades, casi todas críticas. Ninguno de los fallos corregidos se conocía de forma pública antes de la aparición de estos boletines (aunque algunos sí que estaban siendo aprovechados).

Sin embargo, tres vulnerabilidades en Word para las que existe exploit público que permite ejecución de código (y está siendo aprovechado), no han sido contempladas en esta ocasión. Tampoco dos problemas en el servicio CSRSS (Client Server Runtime SubSystem) que permiten elevar privilegios en local o revelar información sensible han encontrado solución. Todas se han dado a conocer durante el mes de diciembre. Existen otras vulnerabilidades "pendientes" que permiten provocar denegaciones de servicio (que la aplicación deje de responder) igualmente en espera.

No existe aclaración oficial sobre la causa de este lote de actualizaciones mensual descafeinado, donde se han echado en falta soluciones a problemas acuciantes en la suite ofimática de Microsoft o su sistema operativo. Se puede presuponer que los parches estaban prácticamente listos en un primer momento, hasta el punto de ser anunciados, pero a última hora no los consideraron suficientemente maduros. Es más que probable que desde Microsoft se haya decidido comprobar una vez más la calidad de esos parches anunciados en primera instancia para ahorrarse disgustos y no comprometer la estabilidad de sus clientes.

Es comprensible esta actitud reservada y conservadora a la hora de publicar parches. Situaciones como la vivida en agosto de 2006 con el boletín MS06-042 hacen necesario una reflexión sobre la liberación de parches. En él se recomendaba la aplicación de un parche acumulativo para Internet Explorer que solucionaba ocho problemas de seguridad. Dos semanas después se hizo público que, inadvertidamente, este parche había introducido una nueva vulnerabilidad crítica.

Si se cumple el ciclo (muy probablemente) y no se publican nuevos parches extraordinarios hasta febrero, dejarían sin solucionar varios problemas graves durante más de dos meses. Aunque una política de comprobación de calidad y análisis de impacto es tan importante como cualquier otro proceso de la administración de actualizaciones, los retrasos pueden resultar tan peligrosos (para sus clientes y para su imagen) como arriesgarse a publicar un parche que cause algún estropicio. Es un equilibrio que no debe romperse.

En cualquier caso, es decisión de los usuarios utilizar alternativas cuando sea posible (como OpenOffice.org) o aplicar las contramedidas que recomendadas en los correspondientes boletines y ayudan a mitigar los efectos de un posible ataque.