Errores y soluciones: una rara solución de emergencia de Microsoft

Microsoft podría haberse sentido como el pequeño holandés en el último mes, tapando agujeros con parches regulares y con raros arreglos fuera de ciclo en un intento de evitar que los atacantes ingresen.

El parche fuera de ciclo, crítico para todas las versiones de Internet Explorer en 2000, XP y Vista, aborda el manejo de IE de los controles ActiveX defectuosos creados con la Biblioteca de plantillas activa de Microsoft (ATL), una herramienta de desarrolladores incluida con Visual Studio. Las PC en riesgo podrían ser golpeadas por un ataque drive-by-download. Esta seria vulnerabilidad afecta a muchos controles ActiveX. Por ejemplo, Adobe confirmó en su sitio de seguridad que sus controles Shockwave y Flash Player ActiveX "aprovechan versiones vulnerables de ATL" y que está trabajando en una solución. El problema también afecta a IE en Windows Server 2003 y 2008, pero tiene una calificación moderadamente severa en esos sistemas operativos.

Correcciones de día cero

La versión regular de Patch Tuesday de Microsoft cerró muchos otros agujeros, incluyendo un error de día cero que tenía estado bajo ataque e involucró un control ActiveX utilizado por Microsoft Video. Aunque el parche inhabilitó el control, que no servía para ningún propósito legítimo, no corrigió la falla subyacente. La solución, crítica para Windows XP y moderada para Windows Server 2003, no afecta a Windows 2000, Vista o Server 2008.

[Lectura adicional: cómo eliminar el malware de su PC con Windows]

Se detuvo una segunda solución ataques al procesamiento de Microsoft DirectShow del contenido de QuickTime. Los ataques, que no dependían de tener instalado el QuickTime de Apple, podían activarse si la víctima abría o mostraba una vista previa de un archivo QuickTime envenenado. DirectX 7, 8.1 y 9.0 en Windows 2000 necesitan la solución, al igual que DirectX 9.0 en XP y Server 2003. Vista y Server 2008 obtienen un pase.

Otras soluciones importantes abordaron agujeros en cómo todas las versiones compatibles de Windows manejan fuentes en Páginas web, correo electrónico y documentos de Office. Los defectos en el motor de fuentes OpenType incrustado no se habían atacado antes del lanzamiento del parche, pero son doozies.

Una falla grave en Microsoft Office Web Components implica un problema de ActiveX que permite ataques a usuarios de IE. Una amplia gama de componentes y versiones de Office necesitan la solución; para obtener la lista completa del software afectado, consulte la página de Microsoft vinculada.

Puede obtener todas las correcciones mencionadas mediante Windows Update.

Parches de Adobe y Firefox

Microsoft no fue el único que sufrió un cero amenaza de un día en el último mes. Adobe, otro objetivo popular, emitió correcciones para Flash (en todas las plataformas), así como para Reader, Air y Acrobat, después de informes de ataques que utilizaron archivos PDF envenenados para explotar defectos de Flash. Para protegerse contra estos ataques multipronados, asegúrese de actualizar todas sus aplicaciones de Adobe. Grabe la versión 10.0.32.18 de Flash y la última versión de Air en el sitio de Adobe. Para Reader, actualice a la versión 9.1.3 abriendo el programa y seleccionando Herramientas, Buscar actualizaciones. Consulte el boletín de seguridad de Adobe para ver los enlaces a las actualizaciones de Acrobat para Mac y Windows, junto con más detalles.

Para concluir sus deberes, los usuarios de Firefox deben actualizar a la última versión disponible para aplicar varias correcciones para varios agujeros en las versiones 3 y 3.5, incluida una falla grave en el manejo de JavaScript de 3.5, más un problema que afecta el uso de certificados SSL de Firefox 3 para cifrar conexiones Web seguras (3.5 ya estaba a salvo de ese error). Haga clic en Ayuda, Buscar actualizaciones para confirmar que tiene la última versión. Y si todavía está en la versión 3, visite el sitio de Firefox para descargar 3.5; es una actualización relativamente indolora.