• Tweet

Microsoft tiene previsto publicar un conjunto de boletines la próxima semana para la reparación de más de dos docenas de vulnerabilidades en su línea de productos.

En la notificación anticipada de los servicios de Microsoft emitida el jueves, el gigante del software dijo que cinco de los boletines se consideran críticos y siete boletines se consideran importantes. A un boletín le fue dado un grado moderado.

Según Jerry Bryant, un alto directivo del Microsoft Security Response Center (MSRC), los boletines de reparación de fallas en Microsoft Office no afectarán a los usuarios de Office 2007 u Office 2008. Los boletines reparan versiones anteriores del software de productividad más popular del gigante de software. Bryant dijo que a las actualizaciones de Office se les dio una calificación importante.

"Animamos a los clientes actualizar a las últimas versiones de Windows y Office," escribió Bryant en el blog de MSRC. "Como muestra este boletín de prensa, las versiones más recientes son menos afectadas en general, debido a la mejora de las protecciones de seguridad integrada en estos productos".

Microsoft también se ocupará de una vulnerabilidad de bajo impacto de día-cero del núcleo del sistema operativo Windows en el cual subyace una falla al manejar ciertas excepciones. La vulnerabilidad existe en casi todas las versiones de Windows. Si se explotan, el problema podría dar lugar a la congelación o al reinicio obligado de algunos sistemas.

La vulnerabilidad del núcleo de Windows se considera de bajo impacto, ya que un atacante necesitaría credenciales de inicio de sesión válidas y debe ser capaz de iniciar una sesión local para explotarla. Bryant dijo que Microsoft no tiene conocimiento de ataques sirviéndose de la vulnerabilidad.

Bryant dio a conocer un resumen tabular del boletín de Windows que describe el número total de boletines y su calificación para cada versión de Windows. Cuatro de los boletines se da un grado de prioridad de 1, la más alta prioridad concedida a un boletín.

A pesar del alto número de vulnerabilidades parchadas hay algunas noticias buenas para los departamentos de TI,- dijo Don Leatham, director senior de soluciones de estrategia en Scottsdale, Arizona- basado en la gestión de vulnerabilidades del proveedor Lumension Security Inc., en una declaración preparada.

"El paquete de Microsoft Office no tiene ningún tipo de parches críticos por lanzar, pero en general, los departamentos de TI se enfrentan a la necesidad de desplegar un gran número de parches para todos los equipos de Microsoft en la organización con muchas situaciones de reinicio forzado", dijo Leatham. "Por lo tanto, será imprescindible planear en este mes el futuro de cómo estos parches deben ser desplegados en torno a las empresas para reducir al mínimo la posibilidad de una perturbación general."

Los parches no están listos para el protocolo SMB en las fallas de día-cero de Internet Explorer. Los ingenieros de Microsoft están trabajando en parches para hacer frente a vulnerabilidades conocidas de día-cero en el SMB y en Internet Explorer.

Microsoft publicó un aviso esbozando la vulnerabilidad de día-cero en el protocolo SMB en noviembre. La cuestión, que podría ser aprovechada para causar una denegación de servicio (DoS), afecta tanto a SMBv1 y SMBv2 ejecutándose en todos los sistemas Windows. Una explotación exitosa se traduciría en un sistema de congelado y no permitiría a un atacante ejecutar código. Microsoft dijo que no tiene conocimiento de ningún ataque activo dirigido a la falla a pesar de la disponibilidad. La cuestión no está relacionada con una vulnerabilidad crítica de SMBv2 que fue parcheada en octubre.

Un parche está siendo probando para hacer frente a las nuevas vulnerabilidades descubiertas en Internet Explorer. Microsoft publicó un aviso sobre la vulnerabilidad de divulgación de información de IE. Hasta que se publicó el parche, Microsoft publicó un arreglo temporal “Microsoft fix-it” disponible (en descarga directa) para los usuarios de Windows XP.