Patches urgentes y complicaciones para plug-ins IE y aplicaciones Visual Studio

30 Jul 2009 en Seguridad

Los plug-ins de Internet Explorer y otros programas creados con la tecnología ATL (Active Template Library) se protegerán con los patches que Microsoft acaba de liberar.
Los patches de esta emergencia llegan en una semana complicada para la seguridad, ya que se realiza en Las Vegas, Nevada, el evento anual de hackers conocido como Black Hat y en el que se suelen dar a conocer brechas y formas de explotarlas. Son patches que cubren problemas más allá del propio software de Microsoft, en aplicaciones realizadas por terceros que usaron Visual Studio como entorno de desarrollo.
El que Microsoft haya emitido sus patches fuera de su programa mensual, es un hecho que habla de su importancia. Los expertos en seguridad recomiendan instalar lo antes posible porque un atacante podría superar los killbits que protegen a la máquina contra controles ActiveX inseguros.
Las vulnerabilidades en las partes de IE que utilizan ATL son consideradas de importancia crítica por Microsoft. Están afectadas las versiones de IE 5.01 en Windows 2000 SP4 a IE6, IE7 y IE8. Solamente está excento IE8 sobre Windows 7, recién liberado a manufactura. Una explotación exitosa compromete toda la PC.
Los patches para Visual Studio/VTL atienden a vulnerabilidades calificadas como “moderadas” pero que igual resulta importante corregir aplicando sus patches.
El alcance del problema es amplio. ATL se usa desde hace más de diez años y miles de programas usan su código. Resultado: el problema de IE queda resuelto hoy, pero el de Visual Studio tomará mucho tiempo.
Los controles escritos para IE con ATL deberán ser recompilados y luego distribuidos a los clientes de los desarrolladores, para luego instalar en usuarios. Un proceso complejo y prolongado.
Microsoft emitió dos boletines separados para Visual Studio y para IE.