• Tweet

Este mes del ciclo de actualizaciones podría dejar a los administradores de Tecnologías de la Información (TI) con algo de tiempo libre.

Las actualizaciones publicadas por Microsoft en marzo deberían aplicarse con relativa facilidad: La empresa ha liberado sólo tres boletines de seguridad para solucionar cuatro vulnerabilidades.

Esta tranquilidad es bienvenida tras los últimos meses del año pasado, cuando los boletines de seguridad de Microsoft alcanzaron records.

Una razón para este ciclo de actualizaciones es que las correcciones para algunos problemas de seguridad conocidos están ausentes. El investigador de seguridad de Kaspersky, Roel Schouwenberg toma nota que dos conocidas vulnerabilidades que no fueron tratadas este mes, una vulnerabilidad de XSS (CVE-2011-0096) y una vulnerabilidad en el protocolo del navegador de Windows.

Andrew Storms, director de seguridad de nCricle, está a la expectativa de más actualizaciones para el siguiente mes como resultado del concurso de hacking CanSecWest Pwn2Own, que inicia este miércoles.

Este martes de parches de marzo de Microsoft, hace referencia a fallas en Microsoft Windows y Office. Sólo uno de los tres boletines de seguridad es considerado como crítico, MS11-015.

En este boletín se resuelve una vulnerabilidad en DirectShow y, una vulnerabilidad en Windows Media Player y en Windows Media Center.

Symatec dice que lo más serio de estas dos fallas es que podrían permitir ejecución remota de código si un usuario es convencido de abrir un archivo malicioso de Microsoft Digital Video Recording (.DVR-MS).

"Para explotar dicha falla, un usuario tiene que abrir un archivo malicioso, para lo cual debe emplearse un poco de ingeniería social" dijo Joshua Talbot investigador de seguridad de Symantec en un comunicado por correo electrónico. "Sin embargo, como los archivos DVR-MS son archivos media utilizados por aplicaciones comunes de Windows, no es difícil imaginar un escenario donde un atacante esparce un archivo malicioso que pretende ser un clip de video relacionado con algún evento popular y actual".

Wolfgang Kandek, director de tecnologías de Qualys, sugiere que si los administradores de TI este mes cuentan con más tiempo del habitual es gracias al ciclo de actualizaciones, y que tal vez podrían considerar identificar cualquier cosa necesaria para Internet Explorer 6. Microsoft está solicitando con urgencia a las empresas actualizar IE6. Kandek dice que los escáner de seguridad realizados por su empresa muestran un 26% de computadoras que aún tienen instalado IE6, un porcentaje mayor que el 12% reportado por Microsoft.