Publicado parche oficial para la vulnerabilidad VML

Como ya se intuía tras las declaraciones de Scott Deacon en el blog oficial de Microsoft, se ha publicado fuera del ciclo mensual habitual un parche para la grave vulnerabilidad VML de Internet Explorer.

El parche (que acompaña al boletín MS06-055) está disponible para todas las versiones actuales del navegador, y puede ser descargado a través de los canales habituales. Bien desde la página oficial de la compañía o automáticamente vía WindowsUpdate.com y actualizaciones automáticas. Recordemos que el fallo se da en la funcionalidad VML (Vector Markup Language) de Internet Explorer, y permite la ejecución de código a través de un desbordamiento de memoria intermedia e inyección de shellcode con sólo interpretar una página HTML.

Desde enero, Microsoft no publicaba un parche fuera de su ciclo habitual. Esta excepción ocurrió con la también famosa vulnerabilidad WMF, que infectó a millones de sistemas Windows. En esta ocasión, aunque se haya precipitado el parche (respetando el ciclo no se hubiese hecho público hasta el 10 de octubre) desde Microsoft se sigue reconociendo que los niveles de ataque e infección a través de este problema han sido “limitados”.

Cabe recordar que los usuarios precavidos que hayan aplicado contramedidas, deben deshacerlas antes de aplicar el parche oficial. Si se ha aplicado el parche no oficial de ZERT, debe ser desinstalado. Si se ha “desregistrado” la librería vulnerable, debe ser de nuevo registrada.

Por otro lado, Microsoft ha aprovechado para publicar una segunda versión de su boletín MS06-049, publicado el 8 de agosto. Esta nueva versión soluciona un problema (en principio no relacionado con la seguridad) de corrupción de datos comprimidos en volúmenes NTFS.

Las direcciones para descargar los parches de actualización MS06-055 son las siguientes:

* Microsoft Windows XP Service Pack 1

http://www.microsoft.com/downloads/details.aspx?FamilyId=383C13DC-51A9-4B12-89E3-871A1A3DE98F&DisplayLang=es

* Microsoft Windows XP Service Pack 2

http://www.microsoft.com/downloads/details.aspx?FamilyId=B5F19858-4E86-4FD4-A264-E4823FF6D0A9&DisplayLang=es

* Microsoft Windows XP Professional x64 Edition

http://www.microsoft.com/downloads/details.aspx?FamilyId=AFD3279C-6171-4F20-A36E-B9B56EE4C7F1&DisplayLang=es

* Microsoft Windows Server 2003 y Microsoft Windows Server 2003 Service Pack 1

http://www.microsoft.com/downloads/details.aspx?FamilyId=AF8F3A58-BA7A-41BF-BB1B-3A9DDFDC3E27&DisplayLang=es

* Microsoft Windows Server 2003 para sistemas Itanium y Microsoft Windows Server 2003 con SP1 para sistemas Itanium

http://www.microsoft.com/downloads/details.aspx?FamilyId=271E9C78-1C6A-443E-924D-43FD6D51E643&DisplayLang=es

* Microsoft Windows Server 2003 x64 Edition

http://www.microsoft.com/downloads/details.aspx?FamilyId=E2CB474F-FC1B-4B7D-A607-02A1528C6743&DisplayLang=es

* Internet Explorer 5.01 Service Pack 4 sobre Microsoft Windows 2000 Service Pack 4

http://www.microsoft.com/downloads/details.aspx?FamilyId=4C48FF93-6559-4616-9C2D-406E808B7E97&DisplayLang=es

* Internet Explorer 6 Service Pack 1 sobre Microsoft Windows 2000 Service Pack 4

http://www.microsoft.com/downloads/details.aspx?FamilyId=EA7DE30F-D765-4E5B-BFD4-64F3FED578FF&DisplayLang=es

Las direcciones para descargar los parches de actualización MS06-049:

* Microsoft Windows 2000 Service Pack 4:

http://www.microsoft.com/downloads/details.aspx?FamilyId=08806182-6a26-4663-91ea-179817350a91&DisplayLang=es