• Tweet

Microsoft se apresura a un par de actualizaciones de seguridad de emergencia del martes en un intento de bloquear exploits en internet explorer y visual studio.

Aunque advierte sobre el próximo parche "fuera de periodo" el viernes, Microsoft (NASDAQ: MSFT) todavía no ha proporcionado orientación detallada sobre las características de la vulnerabilidad , aunque provee pocas pistas.

"Si bien no podemos entrar en detalles sobre la cuestión antes de su liberación, podemos decir que el boletín de Visual Studio abordará una cuestión que puede afectar a determinados tipos de aplicaciones," Mike Reavey, director del Microsoft Security Response Center dijo en un blog. "El boletín de Internet Explorer proporcionara una "defensa profunda" a los cambios a Internet Explorer para ayudar a proporcionar protección adicional para las cuestiones abordadas por el boletín de Visual Studio."

Reavey señaló también que el boletín de seguridad Microsoft IE irá más allá de las cuestiones que afectan IE y Visual Studio.

"La actualización de Internet Explorer también abordará vulnerabilidades calificadas como críticas que no estén relacionados con el boletín de Visual Studio que se comunicó en privado y con responsabilidad", añadió.

No está claro si una de esas vulnerabilidades está relacionada con la presentación de seguridad prevista para el miércoles por la tarde en la conferencia de seguridad Black Hat Las Vegas.

Los investigadores de seguridad Marcos Dowd, Ryan Smith, David Dewey demostrando una nueva herramienta que muestra como el IE se refiere a "killbits", una técnica que habitualmente utiliza Microsoft con su tecnología de ActiveX para restringir y limitar ciertas acciones que podrían considerarse inseguras.

Los investigadores de seguridad, que se llaman a sí mismos Hustle Labs, han publicado una demo pública de lo que intentan hablar en Black Hat -- una manera de detectar cuando ActiveX killbits están en uso en el navegador, y cómo un hacker puede eludir sus limitaciones.

Un portavoz de Microsoft no estuvo disponible en la presentación sobre el impacto de Hustle Labs.

Las actualizaciones fuera de periodo llegan semanas antes de la proxima revisión de actualizaciones de los martes -- prevista para el 11 de agosto -- y siguiendo en julio con el martes de actualizaciones de microsoft.

La revelación que está a punto de lanzar Microsoft de un par de actualizaciones de emergencia también busca convertirse en una comunidad de seguridad abierta -- la evolución que sigue a los esfuerzos del gigante del software para mejorar la visibilidad de la seguridad.

Hace un año, Microsoft lanzó su índice de explotabilidad Microsoft y Microsoft Active Protecciones Program (MAPP) como los esfuerzos para proporcionar nuevos detalles sobre las vulnerabilidades de seguridad en sus productos.

El índice de explotabilidad asigna una puntuación a cada problema de seguridad que indica su potencial para el abuso de los hackers o autores de malware. El producto identifica vulnerabilidades explotables altas para las cuales Microsoft cree que trabajando sistematicamente con el código del exploit es probable que se publique dentro de los 30 días del parche que se disponga de Microsoft.

El programa MAPP complementa el índice de explotabilidad proporcionado por los socios de Microsoft con los detalles de las vulnerabilidades antes de que los parches oficiales sean liberados.

Según Microsoft, a partir de octubre de 2008 a junio de 2009, la empresa emitió 140 puntuaciones de índices de explotabilidad, de los cuales 99 por ciento eran exactos.