Microsoft publicará tres actualizaciones de seguridad el próximo martes
En su ciclo habitual de actualizaciones los segundos martes de cada mes, Microsoft ha anunciado que en esta ocasión se esperan tres parches de seguridad, dos destinados a su sistema operativo Windows y otro a su sistema de correo Exchange.
Si en abril fueron cinco los boletines de seguridad, este mes son sólo tres las actualizaciones que prevé publicar Microsoft el día 9 de mayo. De los dos para el sistema operativo, alguno alcanza el estado de crítico, lo que supone que la vulnerabilidad es aprovechable sin interacción del usuario y permite tomar el control del sistema si se ejecuta con privilegios de administrador. El destinado a Exchange, también se describe como de peligrosidad crítica.
Esta última actualización incluirá un cambio de funcionalidad ya discutido en la base de conocimientos de Microsoft (Microsoft Knowledge Base) en el artículo 912918, por lo que se recomienda a los administradores que estudien este artículo y evalúen convenientemente y con antelación el potencial impacto de la aplicación del parche.
Como es habitual, las actualizaciones requerirán reiniciar el sistema y se publicará además una actualización para la herramienta antispyware de Microsoft “Malicious Software Removal Tool”.
No se sabe si estas actualizaciones solventarán las “cuentas pendientes” que Microsoft tiene con Internet Explorer, que ahora mismo sufre tres vulnerabilidades públicas no parcheadas. Dos de ellas tienen como base un fallo de corrupción en la memoria a la hora de procesar scripts HTML manipulados con etiquetas OBJECT especialmente formadas. Michal Zlewski hizo público el descubrimiento de una primera vulnerabilidad con la posibilidad de hacer que el navegador dejase de funcionar, pero no estaba claro si era posible ejecutar a partir de ahí código arbitrario. Cuando por fin se creía haber encontrado una forma de ejecutar código aprovechando el hallazgo original realizado por Zlewski, lo que en realidad se había descubierto era una variante que puede considerarse como vulnerabilidad casi independiente.
Aparte de estos dos errores basados en una misma raíz, existe un fallo en el manejador mhtml, que puede ser aprovechado para revelar información sensible.
Hispasec Sistemas publicará puntualmente a través de este boletín información detallada sobre los nuevos parches.