Microsoft se apresura lanzamiento de parche Explorer 8

Apenas 11 días después de emitir un aviso, Microsoft lanzó un parche para un error en Internet Explorer 8 que afectó al Departamento de Trabajo de los EE. UU. a principios de este mes.

Rápido lanzamiento de Microsoft de este parche " es un ejemplo sobresaliente de la capacidad de respuesta de Microsoft para la comunidad de seguridad y sus usuarios ", escribió Andrew Storms, director de seguridad de operaciones para el proveedor de software de seguridad Tripwire, en una declaración de correo electrónico.

Este boletín de seguridad IE8 (MS13-038) es uno de 10 que Microsoft lanzó el martes como parte de su lanzamiento "Patch Tuesday" de correcciones de errores y boletines de seguridad que la empresa emite rutinariamente el segundo martes de cada mes.

[Lectura adicional: Cómo eliminar malwar e desde su PC con Windows]

Microsoft marcó a MS13-038 como crítico y la compañía, junto con otras firmas de seguridad, están aconsejando a aquellos que aún ejecutan IE8 que apliquen la solución de inmediato. Utilizando una página web del Departamento del Trabajo modificada, los atacantes utilizaron esta vulnerabilidad en un intento de instalar código malicioso en la máquina de cualquier visitante que ejecuta IE8. Microsoft emitió una solución temporal para esta vulnerabilidad la semana pasada.

El otro boletín crítico, MS13-037, también afecta a Internet Explorer. Esta actualización resuelve 11 problemas que habrían facilitado la introducción de código malicioso en el navegador desde una página web especialmente diseñada, lo que permite al usuario tomar el control de una computadora. La actualización cubre la vulnerabilidad PWN2Own, desenterrada a principios de este año.

Aquellos que ejecuten Windows Server 2012 deberían echar un vistazo inmediato a MS MS13-039. Esta actualización corrige una vulnerabilidad en el Microsoft Web IIS (Internet Information Services) que podría usarse en un ataque de denegación de servicio (DoS) mediante el uso de un paquete HTTP. Dado que sería relativamente sencillo crear un ataque utilizando esta vulnerabilidad, las organizaciones deberían aplicar esta actualización lo antes posible, ya que las vulnerabilidades basadas en esta vulnerabilidad podrían aparecer en tan solo unas pocas semanas, según Tripwire.

Ross Barrett, gerente senior de ingeniería de seguridad de la firma de seguridad Rapid7, escribió en una declaración que "mientras que los ataques DoS generalmente se consideran segundo (o tercer) nivel en cuanto al riesgo, esto podría ser potencialmente perjudicial para una organización, ya que muchos servicios remotos y Las integraciones de Active Directory se basan en http.sys, "que es el subsistema de red utilizado por IIS.

Una" explotación exitosa de este error podría tener serias implicaciones para los servidores web públicos sin algún tipo de [sistema de prevención de intrusiones] en línea frente a ellos. Esencialmente, cualquier usuario podría lanzar un ataque simple y el servidor esencialmente estará fuera de línea ", señaló Storms. También señaló que cualquier copia de Microsoft Server 2012 -no solo las que funcionan como servidores web- podría ejecutar IIS, como un servidor para Microsoft Exchange o SharePoint.

Los siete boletines restantes, ninguno crítico, pero todos considerados importantes, dirección errores en Microsoft Lync, Publisher, Word, Visio, Windows Essentials,.Net y el kernel de Windows.