: Enfoque de seguridad como Microsoft, Parches de parches de Oracle

Es el madre de todos los días de revisión para las tiendas de TI de la empresa, con Microsoft y Oracle lanzando actualizaciones de software críticas el martes.

Microsoft dio el puntapié inicial el martes por la mañana con 11 actualizaciones de seguridad, incluyendo soluciones para fallas de seguridad críticas en Windows Active Directory, Internet Explorer, Excel y el Microsoft Host Integration Server, que integra computadoras Windows con mainframes de IBM.

Los expertos en seguridad dicen que la actualización de Internet Explorer, que corrige seis errores en el navegador, es la que hay que vigilar. Esto se debe a que se considera crítico para los usuarios de Internet Explorer 6 que ejecutan Windows XP, una configuración muy común en la empresa.

[Lectura adicional: cómo eliminar el malware de su PC con Windows]

Pero los clientes que ejecutan Windows Active El directorio de las máquinas más antiguas de Windows 2000 debería mover la actualización MS08-060 de Active Directory a la parte superior de su lista de parches, dijo Don Leatham, director de soluciones y estrategia de Lumension Security. Debido a que un servidor de Active Directory se puede usar para configurar permisos en otras máquinas y administrar usuarios en la red, hacerse cargo de esta máquina "sería el Santo Grial para alguien que intente ingresar a una empresa e interrumpirla por completo", dijo.

Normalmente, los servidores de Active Directory están bloqueados en el firewall, lo que significa que un atacante probablemente tendría que estar en una red interna para montar un ataque, dijo Eric Schultze, director de tecnología de Shavlik Technologies. Pero el error "significa que cualquier usuario interno descontento puede tomar el control completo sobre los dominios de Windows 2000 y los controladores de dominio", dijo a través de un mensaje instantáneo.

Sin embargo, mitigar esta preocupación es el hecho de que Microsoft no ha tenido ningún informe la vulnerabilidad ha sido explotada en un ataque. Si bien es probable que un atacante pueda bloquear el equipo con Windows 2000 explotando este error, "es difícil crear código de explotación funcional para aprovechar la ejecución remota de código", dijo Microsoft en una nota en su sitio web.

En total, 20 errores de seguridad se corrigieron en las 11 actualizaciones de Microsoft. También hubo seis actualizaciones menos críticas, calificadas como "importantes" por Microsoft, para varios componentes de Windows, y un parche "moderado" que corrige un error que podría permitir que un atacante indague información de un usuario de Office.

Actualizaciones de seguridad de Oracle, esperado a la 1 pm La hora del Pacífico incluirá correcciones para 36 errores en una variedad de productos de Oracle, incluida la base de datos insignia de la compañía, su servidor de aplicaciones, E-Business Suite y las herramientas de desarrollo y servidor WebLogic. También se planean correcciones de errores para los productos JD Edwards y PeopleSoft de la compañía.

Es inusual que tanto Microsoft como Oracle estén lanzando parches el mismo día. Las actualizaciones de seguridad de Microsoft se publican el segundo martes de cada mes, conocido como el martes de parches en la industria. Pero los parches de Oracle son trimestrales, entregados el martes a mediados de mes. Normalmente, eso coloca los parches de Oracle el tercer martes del mes, pero este mes, las fechas de lanzamiento de Microsoft y Oracle convergieron.

Las actualizaciones de Microsoft del martes incluyeron también un poco más de información para los clientes de la compañía. Incluyeron una nueva sección llamada el "Índice de explotabilidad", diseñado para facilitarles a los usuarios de Windows descubrir cuáles son los más propensos a ser explotados por hackers.

Microsoft ahora calificó todas sus actualizaciones de seguridad con las siguientes descripciones: "Código de explotación constante probable", "Código de explotación incoherente probable" o "Código de explotación improbable".

La compañía dijo que el código de explotación era probable para errores en el crítico Internet Explorer, Microsoft Host Integration Server y actualizaciones de Excel. Uno de los errores de Internet Explorer, que podría permitir que un atacante obtenga privilegios elevados en una máquina con Windows, ya ha sido divulgado públicamente, pero no se cree que haya sido usado en ataques del mundo real, dijo Microsoft.

Otra primicia: Microsoft brindó a ciertos socios de seguridad acceso anticipado a sus actualizaciones este mes para que puedan implementar la detección de ataques en su software a medida que se publicaron los parches el martes.