Microsoft arregla IE, Office en el gran mes de actualizaciones de seguridad

Microsoft lanzó parches para reparar 19 vulnerabilidades críticas en su software el martes, incluyendo cinco fallas en su navegador Internet Explorer que los expertos en seguridad aconsejan a los administradores de TI que parcheen de inmediato.

El total de 11 puntos de seguridad las actualizaciones lanzadas para agosto son la ronda más grande de actualizaciones de Martes de parches que Microsoft lanzó desde febrero pasado y deberían dar a los administradores de TI mucho que hacer para proteger los sistemas de sus compañías. "La gente va a estar bastante ocupada con esta carga", dijo Jason Miller, líder del equipo de datos de seguridad de Shavlik Technologies, un proveedor de software de administración de parches en St. Paul, Minnesota.

Seis de los parches, que se pueden encontrar en el sitio web de Microsoft, son calificados como críticos, mientras que cinco son calificados como importantes.

[Lectura adicional: cómo eliminar el malware de su PC con Windows]

Miller y otros expertos en seguridad citaron el Boletín de seguridad de Microsoft MS08-045, un Actualización de seguridad acumulativa para Internet Explorer, como la principal prioridad del lote de actualizaciones de este mes. La actualización parche cinco vulnerabilidades informadas de forma privada y una que ya se haya divulgado públicamente y para la que ya exista código de ataque, lo que la convierte en una falla de día cero.

Don Leatham, director de soluciones y estrategia de Lumension Security, dijo que que las vulnerabilidades de IE afecten a HTML (Lenguaje de marcado de hipertexto) es motivo suficiente para que aplicarles parches sea de máxima importancia, ya que la oportunidad de explotación es muy amplia. "Todos los sitios web en el mundo usan HTML", dijo. Lumension, con sede en Scottsdale, Arizona, proporciona software y servicios de gestión de parches y vulnerabilidades

Miller de Shavlik dijo que los parches de IE y otra actualización crítica publicada el martes corrige una vulnerabilidad en ActiveX Control para Snapshot Viewer para Microsoft Access. - MS08-041 - están relacionados porque ambos permiten a un atacante crear un sitio web que aproveche estas vulnerabilidades. Los catalogó como prioridades para la instalación inmediata.

Leatham también citó el exploit de Snapshot Viewer como una alta prioridad para los administradores de TI porque muchas empresas usan Access y su herramienta de visualización instantánea.

"Pueden estar seguros de que la gente está usando el espectador para compartir información con socios, clientes e internamente dada la popularidad del paquete de Office y cuánto tienden a usar Access las empresas.

Una actualización que corrige una vulnerabilidad en el Sistema de Administración de Color de Imagen de Microsoft Windows - MS08-046: también debe instalarse inmediatamente porque podría permitir un ataque si un usuario navega a una página web y ve un gráfico en particular, según los investigadores. El sistema de administración del color es parte del subsistema gráfico de Windows.

"Dado que [la vulnerabilidad] está basada en la web y es gráfica, definitivamente debe prestar especial atención a esa", dijo Leatham.

Dos actualizaciones de agosto calificadas como importantes también deberían ser de interés para los profesionales de TI, incluso si Microsoft las ha calificado por debajo de las actualizaciones críticas. Son MS08-047, que corrige una vulnerabilidad en el procesamiento de Políticas IPsec, y MS08-50, que corrige un error en Messenger.

Aunque Microsoft no califica las fallas que permiten la divulgación de información como crítica, la vulnerabilidad IPsec, que podría convertir lo que la gente cree que son túneles de información cifrados en comunicaciones de texto abierto, podría serlo para ciertas compañías que usan IPsec para transferir datos críticos, como organizaciones de atención médica que trabajan con información confidencial del paciente, dijo Leatham. De igual forma, Microsoft no ha calificado la vulnerabilidad de Messenger como crítica porque solo se ocupa de la divulgación de información; sin embargo, abre la oportunidad para un "ataque de ingeniería social que no hemos visto antes" y debería tomarse en serio, dijo Amol Sarwate, gerente del laboratorio de investigación de vulnerabilidades en Qualys. Qualys, con sede en Redwood Shores, California, brinda servicios de gestión de vulnerabilidades y cumplimiento de políticas.

"Permite a los atacantes invitar a personas para audio o video conferencia personificando a una víctima", dijo, señalando que también es una vulnerabilidad de día cero.

El jueves pasado Microsoft dijo que esperaba lanzar 12 actualizaciones de seguridad el martes como parte de su ciclo de parche mensual, llamado Patch Tuesday por los investigadores de seguridad, pero en el último minuto sacó una de esas actualizaciones debido a problemas de calidad, dijo la compañía.

Microsoft no proporcionó más información sobre si y cuándo lanzaría la actualización; sin embargo, cuando las actualizaciones se han retirado en el último minuto, generalmente se lanzan como parte del ciclo de parches del próximo mes.

Este mes también se complican las cosas, un reciente aviso de seguridad y un parche enviado por Microsoft para la herramienta que muchas compañías usan para parchar las aplicaciones de Microsoft, Windows Server Update Services, dijo Leatham. Advirtió que las empresas se aseguran de que actualicen la herramienta y verifiquen que funciona correctamente antes de instalar los parches de agosto.

"Hubo un extraño error que provocó que algunos parches de seguridad no se implementaran en las áreas de las organizaciones", dijo Leatham. "Desea asegurarse de que su servidor WSUS haya sido parcheado" antes de instalar otra ronda de actualizaciones.