Microsoft publicará mañana doce actualizaciones de seguridad

CortafuegosSeguridad

En su ciclo habitual de actualizaciones los segundos martes de cada mes, Microsoft ha anunciado que en esta ocasión se esperan doce parches de seguridad, nueve destinados a su sistema operativo Windows, uno a Exchange y dos a su suite ofimática Office.

Si en mayo fueron tres los boletines de seguridad, este mes han aumentado hasta doce las actualizaciones que prevé publicar Microsoft el día 12 de junio. De los nueve para el sistema operativo, alguno alcanza el estado de crítico, lo que supone que la vulnerabilidad es aprovechable sin interacción del usuario y permite tomar el control del sistema. El destinado a Exchange se describe como de peligrosidad importante. Para Microsoft Office, al menos uno de los dos parches se considera también crítico. Como es habitual, las actualizaciones requerirán reiniciar el sistema.

Se espera que una de estas actualizaciones para Microsoft Office será para el fallo crítico que existe en Word, y del que se ha hablado anteriormente en este boletín. A mediados de mayo, se encontraba una vulnerabilidad en Microsoft Word que podía ser aprovechada por atacantes para comprometer el sistema. El fallo era causado por un error no especificado que puede derivar en la ejecución de código arbitrario. Debido a que el problema estaba siendo activamente aprovechado y no existía parche oficial, se convirtió en un “0 day”, lo que ha supuesto un importante problema de seguridad. Microsoft reconoció la vulnerabilidad pero afortunadamente, la discreción de los descubridores ha permitido que no haya sido aprovechada en masa con lo que el impacto conocido ha sido escaso. Sin embargo, una vez se apliquen técnicas de ingeniería inversa al parche que será publicado el próximo martes, se prevé la aparición de malware destinado a aprovechar la vulnerabilidad cuando se conozcan los detalles.

Es probable que también, por fin, se publique este mes solución al grave fallo de seguridad que el navegador Internet Explorer arrastra desde finales de abril. Se identificó una vulnerabilidad que podía ser aprovechada por atacantes para ejecutar código arbitrario. El fallo se debe a una corrupción en la memora a la hora de procesar scripts HTML manipulados. Si el código contiene etiquetas OBJECT especialmente formadas, el navegador dejaría de funcionar y quedaría en disposición de inyectar código y poder ser ejecutado. También en este caso, la discreción de los investigadores ha permitido que no se hayan reportado incidentes relacionados con la vulnerabilidad.

Para el resto de parches no se tienen mayores detalles.

Hispasec Sistemas publicará puntualmente a través de este boletín información detallada sobre los nuevos parches.