Patches de emergencia para Internet Explorer y Visual Studio de Microsoft!

27 Jul 2009 en Seguridad

Microsoft trabaja a toda máquina para evitar la explotación de vulnerabilidades aparecidas en Internet Explorer (IE) y Vistual Studio. Así lo informó el pasado viernes y, aunque se dieron algunas pistas para orientación, no se ofrecieron detalles específicos sobre lo que involucrarían estas vulnerabilidades.
“No podemos dar detalles sobre este lote de patches antes de liberarlo. El boletín de Visual Studio atenderá a un problema que puede afectar a cierta clase de aplicaciones,” dijo Mike reavey, director de Microsoft Security Response Center en su blog. “El boletín de IE contendrá cambios defensivos profundos para Internet Exporer, ayudándole a contar con protecciones adicionales a los problemas presentes en el otro boletín.”
Reavey destacó que el boletín de seguridad de IE atenderá además otros problemas. “El update a Internet Explorer también atenderá vulnerabilidades calificadas como críticas y que no tienen relación con el boletín de Visual Studio y fueron reportadas privada y responsablemente,” agregó.
Cabe destacar que la semana próxima se realiza la conferencia de hackers y seguridad Black Hat en Las Vegas y alguna de estas vulnerabilidades podrían tener relación con ese evento. Tres reconocidos investigadores en seguridad mostrarán allí una nueva herramienta para mostrar cómo IE maneja killbits, una técnica que Microsoft utiliza con su tecnología ActiveX para suprimir y limitar ciertas acciones consideradas inseguras.
Esos investigadores que se autodenominan Hustle Labs, han presentado una demo pública sobre lo que intentan mostrar en Black Hat: cómo detectar cuando se están usando killbits ActiveX en el broser y cómo un hacker puede superar sus restricciones.
Los updates fuera de programa llegarán hoy en lugar de hacerlo en agosto 11 como estaba previsto, lo cual habla de su importancia.
En los últimos meses Microsoft había destacado que su política de apertura hacia la comunidad de seguridad estaba siendo exitosa. Hace un año, Microsoft creó su Exploitability Index y su Microsoft Active Protections Program (MAPP), dos proyectos dirigidos a brindar mayor visibilidad y detalle de los problemas de vulnerabilidad en sus productos.
El índice asigna el grado de riesgo de una explotación de parte de hackers o autores de malware. El programa MAPP complementa al índice dando a los partners de Microsoft detalles sobre las vulnerabilidades antes de la liberación oficial de patches. Según Microsoft, desde octubre 2008 a junio 2009, se emitieron 140 raitings de Exploitability Index  con un 99% de precisión.