Microsoft corrige dos brechas de seguridad en Windows y Office

12 May 2010 en Seguridad

Microsoft liberó sólo dos patches en su boletín de este mes. El primero tiene que ver con la mayor parte de las versiones Windows y el otro con Visual Basic for Applications (VBA), lo que afecta a Microsoft Office.
Respecto al lote de 11 arreglos del mes anterior, se trata de algo muy tranquilo.
Si bien este mes los patches son pocos, su calificación es de “crítica.”
El patch correspondiente a Windows corrige una vulnerabilidad de seguridad en Outlook Express, Windows Mail y Windows Live Mail. Esta brecha resulta crítica o importante para ciertas versiones de Windows: Windows 7, Widnows Server 2008 Release 2; Windows 2000 Service Pack 4, Windows XP SP2 y SP3 y a Windows Visa SP1 y SP2.
La brecha no es fácil de ser explotada para ningún hacker. El atacante debería armar un host de un mail server malicioso al que se conecte el cliente Windows Mail o Outlook Express, o bien comprometer al mail server existente. También puede intentar un ataque con intermediario y alterar respuestas al elemento cliente. Así consta en MSRC (Microsoft Security Response Center).
La brecha VBA, si bien de importancia crítica, también requiere de cierta ingeniería social o “trickery” para ser explotada. Tiene que ver con Microsoft VBA SDK 6.0 y aplicaciones que usan VBA. Para las versiones de Office XP, Office 2003 y Office 2007, es calificada como importante, ya que requiere de la participación del usuario para ser explotada.
El patch corrige la forma en que VBA busca controles ActiveX embebidos en documentos.
Una vulnerabilidad que queda sin corregir es la de SharePoint Server 2007 y SharePoint Services 3, sobre la que Microsoft advirtió a sus usuarios el mes pasado. Si bien se trabaja en la corrección, no se llegó a tenerla lista para este lote. La brecha de seguridad en SharePoint podría ser solucionada con un patch fuera de ciclo o “out-of-band” para el que no se dio fecha.