Microsoft publica nueve boletines de seguridad

En esta ocasión se esperan nueve boletines de seguridad, seis dedicados a su sistema operativo Windows, uno a Office, otro compartido entre la suite y el sistema operativo y por último uno relativo a Virtual PC.

Si en julio fueron seis boletines de seguridad que salieron a la luz, este mes Microsoft prevé publicar nueve actualizaciones el día 14 de agosto. Al menos uno para Windows alcanza la categoría de crítico. Igual para Office, donde el fallo resulta crítico. El de Microsoft Virtual PC tiene categoría de “importante”.

Adicionalmente, y como viene siendo habitual, Microsoft publicará una actualización para Microsoft Windows Malicious Software Removal Tool. Además, se publicarán cuatro actualizaciones de alta prioridad no relacionadas con la seguridad.

El fallo en el ActiveX de Office descubierto a mediados de junio, del que existe exploit público y no actualización oficial, no parece estar siendo explotado de forma masiva. No se sabe si será corregido en esta ocasión. También se conoce un fallo “compartido” que ha dado que hablar en los últimos días, y que puede corresponder a uno de los parches de este mes.

Este problema (descrito en boletines anteriores) se debe a un fallo de validación de entrada en el manejo de URIs. Direcciones (URIs) de protocolos como mailto:, nntp:, snews:, telnet:, news:… pueden ser modificadas para lanzar cualquier programa del sistema en vez del cliente de correo, por ejemplo. Esto puede ser aprovechado para ejecutar código arbitrario en vez del programa que debería gestionarlos si un usuario de Windows, a través de otro programa, visita una web especialmente manipulada con una URI que contenga el carácter “%” y termine con extensiones ejecutables como .bat y .cmd.

Para reproducir el problema, Internet Explorer 7 debe estar instalado en el sistema y (se creía en un principio) era necesario visitar la página con Firefox, Netscape o Mozilla. Sólo funciona sobre Windows XP y 2003, no sobre Vista.

Firefox (aunque luego se comprobó que no era el único programa que podía ser usado como trampolín de la vulnerabilidad) corrigió su parte del problema en la reciente versión 2.0.0.6, aunque no del todo y de forma provisional. Parece que es responsabilidad de Microsoft atajar el fallo de raíz y quizás lo haga con uno de los parches de este ciclo.