• Tweet

John Leyden

Parches necesarios para casi todo – excepto en Internet Explorer.

Microsoft liberó los esperados nueve parches - cinco críticos – como parte de un ocupado martes de actualización para el mes de Agosto, enfocado principalmente en vulnerabilidades para el lado del cliente.

Los boletines son dirigidos colectivamente a 19 fallas de seguridad. El lote abarca un error sobre los componentes Web de Office (MS09-043) que ha servido de materia prima para ataques activos de hacking desde Junio. Los usuarios están expuestos a estos ataques si dentro de donde se encuentra el sitio, alojan un código explotable. Una actualización crítica para Windows Media Player (MS09-038) es dirigida a un fallo que ha creado un medio para hackear sistemas después de engañar a los usuarios para reproducir archivos AVI malformados.

Otra actualización repara cinco controles de ActiveX que fueron hechos usando una versión vulnerable de la librería ATL. La causa de este fallo, el cual ha afectado tanto a terceros desarrolladores como Adobe como a Microsoft, se trató anteriormente en el boletín MS09-035 fuera de la secuencia de actualizaciones a finales de julio.

Fallas en Protocolo de escritorio remoto (RDP - antes conocido como Servicios de Terminal Server) que crean una unidad de descarga el cual resulta un riesgo de ataque también se abordan en la revisión por lotes.

En el lado del servidor, los peores fallos críticos están dirigidos a una grave amenaza para servidores WINS en redes de Microsoft. El fallo crea un medio no autenticados para montar un ataque del lado del servidor. Produciendo que un atacante pueda enviar paquetes maliciosos pasando a un Firewall, el error, si se deja sin tratar, crea un medio para ejecutar código arbitrario en un servidor.

Otros "cambios importantes" dirigidos a fallas en servicios de Workstation, Windows Message Queuing Service (MSMQ), Telnet y una vulnerabilidad de denegación de servicio en ASP.NET.

Un resumen de Microsoft sobre del software afectado revela que todas las versiones soportadas de Windows (cliente y servidor) tendrán actualizaciones por una razón u otra. Office también necesita parches debido a la falla de Office Web Components, que afecta a aplicaciones de servidor BizTalk y el ICEA incluidos.

Eric Schultze, CTO de la empresa de gestión de parches Shavlik y un ex director de programa para el Microsoft Security Response Center, explica: "Los boletines cubren una gama de productos afectados - casi todo en su empresa tendrá que ser parchado hoy con la excepción de Internet Explorer".

Wolfgang Kandek, CTo de la empresa de evaluación de vulnerabilidades Qualys , comentó: "Hay cinco parches críticos que pueden ser explotadas remotamente y cuatro más importantes que requieren acceso directo al sistema de explotación".

"Aunque esta es una gran noticia, no hay sorpresas ya que en la publicación no se aborda una pendiente vulnerabilidad del día cero e incluye un parche oficial para el parche out-of-band lanzado en julio por MS09-034. Como siempre los usuarios están ansiosos para revisar cuidadosamente estos parches críticos y aplicar lo antes posible ", añadió.