Boletines Microsoft de junio: hay para todos los gustos

(Por El Microsaurio) Desde las especialmente graves hasta las leves, hay vulnerabilidades en cantidad y calidad. Todo en diez boletines, diez, y en Windows, Internet Explorer, Office, IIS y otras más. Sentate, callate, agarrate y enterate, parafraseando a mi amigo el camionero. Ah, y una coda dedicada a Safari.

No hay nada mejor que preguntarle a los que saben. En este caso, a Jerry Bryant, del Microsoft Security Response Center, y a Kevin Brown, David Ross, Bruce Dang, Brian Cavenah y Jonathan Ness, del equipo de ingeniería de Microsoft Security Research and Defense. Los mencioné a todos porque el laburo que hicieron es extenso, y alguna palmadita aprobatoria se merecen.
Eso sí, a los programadores de la empresa que cometieron los errores de código que luego se han convertido en vulnerabilidades, les regalaría un ticket de ingreso al infierno…
Vamos al resumen.

Diez boletines, numerados del 032 al 041; treinta y cuatro vulnerabilidades, que afectan a todos los Windows actualmente en uso, a Office (para Windows y Mac) y SharePoint, a Internet Information Services, a los Internet Explorer y a diversos componentes de Punto Net.
Los más graves (o sea, “críticos”) son éstos:

• MS10-033–> Fallas en componentes de DirectShow o Media Encoder 9 presentes en diferentes versiones de Windows. El ataque se produce al abrir un archivo multimedia especialmente modificado.
• MS 10-034–> Actualización de componentes de ActiveX, para todas las versiones de Windows. La vía de ataque podría ser un control ActiveX malicioso en una página web.
• MS 10-035–> Se solucionan seis vulnerabilidades de diferentes versiones de Internet Explorer, incluyendo IE 8. Una de las vulnerabilidades ya ha sido publicada en la Internet (nota: vos ya sabés qué significa eso, ¿verdad?)

En caso de aplicar los parches manualmente, estos tres serían los primeros.
De los siete calificados como “importantes”, cinco están marcados para descargarlos en segundo lugar:

• MS10-032–> Muy curioso e interesante. Son tres fallas en drivers del Kernel de Windows relacionadas con la utilización de fuentes TrueType. Pero atención con esta frase: “…ninguna aplicación de Microsoft expone un vector remoto, pero algunas aplicaciones provistas por terceros podrían abrir archivos de fuentes especialmente modificadas, y exponer estas vulnerabilidades de manera remota y anónima…” Si unimos esto a la costumbre de buscar en Internet fuentes tipográficas gratarola, y bajarlas de donde sea sin preguntar demasiado… bueno, estamos en problemas.
• MS10-036–> La vulnerabilidad está en código de Office que valida incorrectamente un objeto COM, y los afectados son Word, Excel, PowerPoint, Visio y Publisher, en todas las versiones menos Office 2010 y Office for Mac. Vector de ataque: un archivo que llegue adjunto a un email.
• MS10-038–> Catorce vulnerabilidades en Excel (sí, ¡catorce!) en sus versiones para Office XP, 2003, 2007 y Office for Mac 2004 y 2008. El ataque se dispara al abrir un archivo arteramente modificado.
• MS10-039–> El esperado parche para las tres vulnerabilidades descubiertas en SharePoint. Ojo que ya se publicó en la Internet una Prueba de Concepto explicando cómo efectuar un ataque…
• MS10-040–> Se cubre una falla en Internet Information Services, versiones 6.0, 7.0 y 7.5 que corran sobre Windows Server 2003 y 2008 o en Windows Vista y Windows 7. No están afectados Windows 2000 y Windows XP, sobre los cuales corren IIS 5 o 6, según el caso.

Los que podrían descargarse e instalarse en tercer lugar son:

• MS10-037–> Otro problema relacionado con un driver de fuentes tipográficas, en este caso el de OpenType Compact Font Format. La víctima debería abrir un documento donde se haya utilizado una fuente especialmente modificada. Según dicen en Microsoft, no se puede usar para un ataque remoto. Productos afectados: Windows 2000, XP, Vista, Windows 7, Server 2003 y Server 2008. No, MS-DOS 6.22 no está afectado, Windows 3.11 tampoco.
• MS10-041–> Se trata de una vulnerabilidad en Punto Net. Esta falla podría permitir la modificación de datos incluidos en contenido XML firmado, sin que esa alteración sea detectada. Versiones afectadas: Microsoft .NET Framework 1.0, 1.1, 2.0, 3.5 y 3.5.1, en determinados casos (miren el boletín específico). Las versiones 3.0 y 4.0 no están afectadas.

Este es un resumen-resumen, y los detalles específicos habrá que buscarlos (no faltaba más) en las fuentes. Todas las observaciones las comparé con los comentarios de los especialistas que mencioné ahí arriba y con el contenido de los boletines en inglés, que están en esta dirección de Microsoft.
En la web de Microsoft Latam, los boletines en español están acá.
Curiosamente, en la web de Microsoft España el boletín-resumen tenía links que llevaban a los boletines en inglés, así que… gracias, gente de Microsoft Latam…
Mis mejores deseos de feliz instalación, queridos/as admin, y espero que no se rompa nada en ningún servidor.
Respecto a los parches para Safari, queridos amigos maqueros, estoy digiriendo aún el boletinazo (se habla de unas 48 fallas de seguridad, que funcionan en Windows y en Mac OS X) y mañana les cuento.