(Por Rubén Borlenghi, el Microsaurio) La quinta entrega del año de los Boletines de Seguridad de Microsoft llegó con la puntualidad acostumbrada, y tal como adelanté por Twitter (@ruben_borlenghi), nos obsequió siete ejemplares, numerados del 29 al 35, que solucionaron 23 fallas de programación en productos de Microsoft.
Arrancamos con un resumen mínimo, indicando la calificación, de acuerdo a la página correspondiente del website de Microsoft, además del número de código, la cantidad de fallas solucionadas, el software afectado, y lo que podría pasar. En este caso, parece que podrían pasarle una de dos cosas a tu PC (o a tus servidores, hmmm…): que un intruso logre arrancar un programa dañino en la máquina, o que pase de ser un visitante a constituirse en Administrador del sistema. Una preciosura.
El resumen mínimo
- Crítico: MS12-029. Una falla solucionada en el código que usaba Microsoft Word para abrir los archivos *.RTF; permitía la ejecución remota de código; no afecta a Word 2010, pero sí a Office for Mac 2008 y 2010. Detalle: la nota técnica dice «…para desencadenar el ataque, basta con ver un archivo adjunto en el Panel de Vista Previa de Microsoft Outlook…» Me pregunto: ¿todavía alguien usa Vista Previa en Outlook? ¿No saben que hay que deshabilitarlo, porque es peligrosísimo?
- Importante: MS12-030. Seis vulnerabilidades en Excel para Windows y Office for Mac 2008 y 2010, solucionadas, que permitían ejecución remota de código.
- Importante: MS12-031. Una vulnerabilidad en Microsoft Visio Viewer 2010; ejecución remota de código; la informó don Luigi Auriemma, el mismo que deschavó el tema del famoso MS12-020 que tanto ruido hizo en marzo.
- Importante: MS12-032. Una vulnerabilidad en TCP/IP y otra en el Firewall de Windows; el atacante podría obtener permisos de Admin.
- Importante: MS12-033. Una vulnerabilidad en el Administrador de particiones de Windows, causada por el administrador de configuración de Plug and Play; producía elevación de permisos.
- Crítico: MS12-034. Una «actualización de seguridad combinada» que modifica componentes de Office 2003, 2207 y 2010, .NET Framework y Silverlight: Se solucionan 10 vulnerabilidades. Habrá ejecución remota de código, si un usuario abre un documento especialmente diseñado o visita una página web malintencionada que inserta archivos de fuentes TrueType, o abre una imagen de tipo EMF insertada en un archivo de Office. Al final hay más datos sobre este monster patch.
- Crítico: MS12-035. Dos vulnerabilidades en .NET Framework podrían permitir la ejecución remota de código empleando archivos XAML con código malicioso.
Hasta ahí las descripciones. Y si se trata de máquinas empleadas por usuarios hogareños o de PyMes, habrá que instalarlas sin chistar (más les vale).
Orden de instalación manual
Desde el Microsoft Security Response Center publicaron instrucciones sobre la secuencia sugerida de instalación, en el caso en que esto se haga manualmente. Van primero las actualizaciones relacionadas con los boletines 34 y 29, los que solucionan problemas más graves: luego las del 35, 30 y 31, y en tercer lugar las de los 33 y 32. Dado que son los que conocen el código y saben qué modificaron, yo aceptaría las indicaciones sin discutir.
Nota: convendría que los amigos admin revisen el post sobre preparación para aplicación de parches en empresas u organizaciones con centro de datos grande, publicado por Dan Goldemberg del Instituto SANS. Y los comentarios al post.
¿Porqué meter 10 modificaciones en una sola actualización?
Y conste que puse modificaciones y no parches, para que no se me paspe un referente.
La lista de vulnerabilidades citadas en el Boletín MS12-034 llama la atención, porque menciona dos defectos en la forma en que se abren fuentes True Type, dos problemas en .Net Framework, uno en Silverlight, dos en la interfaz gráfica GDI+, uno en el sistema de mensajes de Windows, otro en el archivo de distribución de teclado y (créanlo o no) una falla en el cálculo de la barra de desplazamiento, también en la parte gráfica.
La mejor descripción sobre lo sucedido la encontré en el blog de Security Research and Defense de Microsoft. Según explica Jonathan Ness, la relación entre productos tan disímiles como Silverlight, Dot Net o la distribución de teclado está en que en todos se han encontrado las mismas partes de código utilizadas una y otra vez; código que fue afectado por una cantidad de ataques, como los relacionados con DuQu. Y había que modificarlas para evitar que docenas de aplicaciones brindasen una puerta de entrada a los atacantes.
Incluso (escribe Ness, que no se llama Eliott) uno de sus colegas, Chengyun Chu, diseñó un «cloned code detection system» que permitió revisar las aplicaciones de Microsoft para ubicar las secciones de código que había que modificar. Centenares de aplicaciones…
Final de malas noticias: tres de las vulnerabilidades mencionadas en los boletines 030, 032 (la de TCP/IP) y 034 (dos, la de TrueType y de teclado) ya están posteadas en la web, al alcance de los molestos de siempre.
Warning: Uninitialized string offset 21 in /www/tecnozona.com/htdocs/wp-includes/functions.php on line 291
Warning: Uninitialized string offset 21 in /www/tecnozona.com/htdocs/wp-includes/functions.php on line 291