Buenos Aires, 11 de abril de 2012
Esta vez, como casi siempre, el avance difundido la semana pasada coincidió con lo finalmente entregado el martes 10 por Microsoft.
Fueron seis Boletines de Seguridad, numerados del MS12-023 al 28 y la publicación oficial la podrás leer
acá.
Los usuarios finales ya habrán recibido en el anochecer criollo del martes las actualizaciones automáticas; para los sufridos/as admin que prefieren meter mano en sus servidores de a poco, para estar presentes en caso de rotura, preparé un comentario a las instrucciones que dejó Pete Voss, Sr. Response Communications Manager en el blog del Microsoft Security Response Center.
En cada caso, va el número de boletín, la calificación según
estas normas de Microsoft, el componente o aplicación que tenía fallas de seguridad, y algún dato que pude pescar en los blogs de seguridad de esa empresa.
Además del orden de instalación, que es lo que verán más abajo, hay un "índice de Severidad y Explotabilidad", en el cual pusieron a la cabeza a los Boletines 23, 24 y 25. Ténganlo en cuenta.
Primero lo más grave
* MS12-027 (crítico) Falla en los Controles Comunes de Windows -MSComCtl- que afecta a Microsoft Office 2003, 2007 y 2010; SQL Server 2000 y SQL Server 2000 Analysis Services, SQL Server 2005 y 2008; BizTalk Server 2002, Commerce Server 2002, 2007 y 2009, Visual FoxPro 8.0 y 9.0 y Visual Basic 6.0 Atención: Microsoft informa que ya ha detectado ataques empleando esta vulnerabilidad.
* MS12-023 (crítico) Cinco vulnerabilidades solucionadas en Internet Explorer 6-7-8-9. Nota del sufrido redactor: recuerden que el navegador es una puerta de entrada que está abierta casi todo el tiempo...
Los del segundo lugar
* MS12-024 (crítico) Vulnerabilidad de validación de firma en WinVerifyTrust/Authenticode. Software afectado: todos los sistemas operativos de Microsoft, cliente o servidor. (No, Windows 3.11 no está afectado) El atacante podría aprovechar la falla de programación (perdón, la "vulnerabilidad"...) haciendo que un usuario descargue y ejecute un archivo PE ("portable-ejecutable", que le dicen en Puerto Rico) especialmente modificado. Muy interesante el comentario del MSRC "...los usuarios no deben abrir archivos no confiables..." ¿Y cómo sabe eso un usuario???
* MS12-025 (crítico) Falla de diseño (son mis palabras...) en .NET Framework. Copia la parte relevante del Boletín: "...la vulnerabilidad podría permitir la ejecución remota de código en un sistema cliente si un usuario visita una página web especialmente diseñada mediante un explorador web que pueda ejecutar aplicaciones XAML del explorador (XBAP)...". No afectados: Microsoft .NET Framework 3.0 SP 2 y 3.5 SP 1 Afectados, todos los dot NET no mencionados, en todos los SO actualmente soportados por Microsoft.
* MS12-028 (importante) Vulnerabilidad en el Conversor de archivos de MS Office y en Microsoft Works, que afecta especialmente a Office 2007 Service Pack 2, Microsoft Works 9 y el convertidor de archivos de Microsoft Works versiones 6 a 9. Se puede atacar a un sistema haciendo que el usuario abra un archivo de Works del tipo *.wps especialmente diseñado. La falla fue descubierta en 2009 y 2010 y solucionada en Boletines de esa época. Tres observaciones sobre este tema, que tomé de documentación de la empresa:
a) Esta actualización no "baja" a los equipos que no tienen habilitada la actualización automática. Revisar los comentarios de la sección Recomendación de
este boletín.
b) En la misma comunicación dice claramente que "...otras versiones o ediciones han llegado al final de su ciclo de vida o no están afectadas..." en criollo, si estás usando un MSOffice anterior (el 2000, o el 2003, por ejemplo), es tu problema, ellos no los probaron...
c) Desde el MSRC escriben sobre esta vulnerabilidad: "los usuarios no deberían abrir adjuntos de fuentes no confiables". Ver lo que puse para el MS12-024.
El tercero
* MS12-026 (importante) Dos fallas de programación, que produjeron sendas vulnerabilidades en Microsoft Forefront Unified Access Gateway (UAG). Tendrán trabajo los sufridos administradores de un servidor con Forefront Unified Access Gateway 2010 Service Pack 1 o Service Pack 1 Update 1. Para que se queden más tranquilos en el ambiente corporativo, en el boletín dice "Un ataque exitoso podría producir fuga de información". Por el tipo de software del que se trata, para la correcta actualización sería interesante que revisen "Implementación de la actualización de seguridad" en el tercio inferior del
Boletín 026
Hay un ausente en este ramillete de Boletines de seguridad. Hubo una falla de Internet Explorer, descubierta por participantes de
Pwn2own 2012 en Canadá, en marzo pasado, que no fue solucionada aún. El amable Wolfgang Kandek, CTO de la empresa de seguridad informática Qualys lo marcó en
su blog, donde de paso avisa que el vehículo de ataque empleado en los ataques mencionados en el Boletín MS12-027 (miren ahí arriba...) es un archivo RTF que llega por mail. Mirá vos, un inocente RTF. Tomar nota.
Suficiente para trabajar toda la semana. Que les sea leve.
|