Tal y como adelantamos, este martes Microsoft ha publicado cuatro boletines de seguridad (del MS09-002 y MS09-005) correspondientes a su ciclo habitual de actualizaciones, que corrigen un total de ocho vulnerabilidades. Según la propia clasificación de Microsoft dos de los boletines presentan un nivel de gravedad “crítico”, mientras que los dos restantes son “importantes”.

Los boletines “críticos” son:

* MS09-002: Actualización acumulativa para Microsoft Internet Explorer que además soluciona dos nuevas vulnerabilidades que podrían permitir la ejecución remota de código arbitrario. Afecta a Internet Explorer 5.01, 6 y 7.

* MS09-003: Este boletín de seguridad resuelve dos vulnerabilidades en Microsoft Exchange Server. Una de ellas permitiría la ejecución remota de código si un usuario envía un mensaje TNEF específicamente creado. La segunda vulnerabilidad consistiría en una denegación de servicio. Afecta a Exchange Server 2000, 2003 y 2007.

Los dos boletines “importantes” son:

* MS09-004: Actualización destinada a corregir una vulnerabilidad en Microsoft SQL Server que podría permitir la ejecución remota de código.

* MS09-005: Actualización que resuelve tres vulnerabilidades en Microsoft Office Visio que podrían permitir la ejecución remota de código si un usuario abre un archivo de Visio maliciosamente manipulado. Afecta a Microsoft Office Visio 2002, 2003 y 2007.

Las actualizaciones publicadas pueden descargarse a través de Windows Update o consultando los boletines de Microsoft donde se incluyen las direcciones de descarga directa de cada parche. Dada la gravedad de las vulnerabilidades se recomienda la actualización de los sistemas con la mayor brevedad posible.

Más Información:

Microsoft Security Bulletin Summary for February 2009

http://www.microsoft.com/technet/security/bulletin/ms09-feb.mspx

Microsoft Security Bulletin MS09-002 – Critical
Cumulative Security Update for Internet Explorer

http://www.microsoft.com/technet/security/Bulletin/MS09-002.mspx

Microsoft Security Bulletin MS09-003 – Critical
Vulnerabilities in Microsoft Exchange Could Allow Remote Code Execution

http://www.microsoft.com/technet/security/bulletin/MS09-003.mspx

Microsoft Security Bulletin MS09-004 – Important
Vulnerability in Microsoft SQL Server Could Allow Remote Code Execution

http://www.microsoft.com/technet/security/bulletin/MS09-004.mspx

Microsoft Security Bulletin MS09-005 – Important
Vulnerabilities in Microsoft Office Visio Could Allow Remote Code Execution

http://www.microsoft.com/technet/security/bulletin/MS09-005.mspx

Antonio Ropero
[email protected]

Fuente: Hispasec

Mozilla publicó la nueva versión de Firefox que corrige una serie de bugs de seguridad en el navegador. Firefox 3.0.6 corrige errores en el código JavaScript que puede ser aprovechado por los atacantes para ejecutar software no autorizado en el PC de la víctima.

Esta es la primera actualización de Firefox en este año como antesala de la versión 3.1 que ha venido retrazando su lanzamiento. La actualización también corrige otras cinco errores de seguridad considerados como menos críticos.

Además agrega mejoras de rendimiento y estabilidad, incluye un nuevo código que soportará comandos de script para un mejor acople con los plugins, como por ejemplo Adblock Plus.

Los bugs también afectan a otras aplicaciones de Mozilla como Thunderbird y SeaMonkey.

Fuente: http://www.blogantivirus.com/nueva-version-de-firefox-corrige-fallos-criticos-de-seguridad

En una medida poco habitual en Redmond, Microsoft ha anunciado que hoy miércoles publicará un patch-fix que debe corregir la grave vulnerabilidad que afecta a todas las versiones de su explorador Web, como os adelantábamos en días pasados.

La denuncia del investigador de seguridad danés que informó del problema a Microsoft argumentando que las medidas originales que estaba tomando era insuficiente para corregirlo, llevó a distintas compañías de seguridad a recomendar incluso el uso de las alternativas de sus rivales, lo que ha obligado a la compañía a publicar un parche de emergencia considerado “crítico”.

El mismo será distribuido desde Windows Update, Microsoft Update y Windows Server Update Services (WSUS), para usuarios de Windows 2000, XP, Vista, Server 2003 y Server 2008. El parche debe corregir la vulnerabilidad en IE5.01, IE6 e IE7. Para IE8, actualmente en fase beta, la corrección llegará posteriormente ya que no ha sido incluido en la lista de navegadores soportados.

Según PC Magazine, aprovechando esta vulnerabilidad ya están infectadas más de dos millones de máquinas y 10.000 sitios web, tras la extensión desde China del código JavaScript malicioso.

Fuente: http://www.theinquirer.es/2008/12/17/parche-de-emergencia-para-internet-explorer-hoy-mismo.html

Más información: http://www.diarioti.com/gate/n.php?id=20741

Dentro del conjunto de boletines de seguridad de diciembre publicado ayer por Microsoft y del que ya efectuamos un resumen, se cuenta el anuncio (en el boletín MS08-073) de una actualización acumulativa para Internet Explorer; que además solventa cuatro nuevas vulnerabilidades descubiertas en las versiones 5.01, 6 y 7 del navegador.

Los nuevos problemas corregidos son:

* Se ha corregido un fallo en ciertos métodos de navegación no especificados que podrían permitir a un atacante remoto ejecutar código arbitrario con los mismos permisos del usuario a través de una página web especialmente manipulada.

* Se ha corregido un fallo en el acceso a memoria no inicializada en ciertas situaciones no especificadas que podrían permitir a un atacante remoto ejecutar código arbitrario con los mismos permisos del usuario a través de una página web especialmente manipulada.

* Se ha corregido un fallo que permitía acceder a objetos previamente borrados. Un atacante remoto podría aprovechar está vulnerabilidad para ejecutar código arbitrario con los mismos permisos del usuario a través de una página web especialmente manipulada.

* Se ha corregido un fallo al procesar objetos incrustados en páginas webs que podría permitir a un atacante remoto ejecutar código arbitrario con los mismos permisos del usuario a través de una página web especialmente manipulada.

Se recomienda actualizar los sistemas afectados mediante Windows Update o descargando los parches según sistema y versión desde la página del boletín de seguridad de Microsoft:

http://www.microsoft.com/spain/technet/security/Bulletin/ms08-073.mspx

Fuente: http://www.hispasec.com/unaaldia/3700

En su ciclo habitual de actualizaciones los segundos martes de cada mes, Microsoft ha anunciado que en esta ocasión se esperan dos boletines de seguridad, uno dedicado a Microsoft Office y otro a su sistema operativo Windows.

Si en octubre fueron once boletines de seguridad los que salieron a la luz, este mes Microsoft prevé publicar dos actualizaciones el martes 11 de noviembre. La dedicada a Office alcanza la categoría de crítica, y la dedicada a Windows de importante.

Adicionalmente, y como viene siendo habitual, Microsoft publicará una actualización para Microsoft Windows Malicious Software Removal Tool. Además, se publicarán actualizaciones de alta prioridad no relacionadas con la seguridad. Como es habitual, cada boletín podrá contener un número indeterminado de correcciones de seguridad.

Ambos problemas afectan a toda la gama de sistemas operativos mantenidos por ahora (desde Windows 2000 a Windows 2008) y toda la gama de Office igualmente, puesto que el fallo crítico se da en Microsoft XML Core Services. Según la versión instalada de este intérprete de XML, la gravedad puede reducirse de crítica a importante.

Al menos en el momento de la publicación de este boletín, Microsoft no ha añadido el “exploitability index” o índice de explotabilidad. Este concepto fue introducido el mes pasado por Microsoft para indicar las posibilidades de que se cree un exploit para cada vulnerabilidad.

Hay que señalar que, en cualquier caso, el adelanto que ofrece Microsoft está sujeto a cambios de última hora.

Hispasec Sistemas publicará puntualmente a través de este boletín información detallada sobre los nuevos parches.

Más Información:
Microsoft Security Bulletin Advance Notification for November 2008

http://www.microsoft.com/technet/security/bulletin/ms08-nov.mspx

Fuente: http://www.hispasec.com/unaaldia/3667