Urge la actualización de patches en productos Microsoft

14 Oct 2004 en Software

Microsoft acaba de liberar su lote de advertencias y patches de seguridad correspondientes al mes de octubre. Entre ellos, se incluye a un importante arreglo que debe aplicarse en Internet Explorer (IE).
En total, las advertencias son diez, siete de las cuales se califican de críticas y tres son de menor importancia. Además, Microsoft reiteró la liberación de su boletín MS04-028 (disponible en: http://www.microsoft.com/technet/security/bulletin/MS04-028.mspx) para corregir problemas recién descubiertos con usuarios de Windows XP Service Pack 2 (SP2). El comunicado MS04-28 corregido cubre el problema de JPEG Parsing (GDI+) en Windows, Office y otros programas gráficos. Afortunadamente, llega en momentos en que existen numerosas explotaciones activas en la red.
El más voluminoso arreglo es el MS04-038 (que puede ser descargado en: http://www.microsoft.com/technet/security/bulletin/MS04-038.mspx) y Microsoft advierte que ya se detectan explotaciones que atacan a usuarios Windows. El patch incluye un arreglo para la falla CSS Heap Memory Corruption; para una brecha en el redireccionamiento de nombres y otra vulnerabilidad drag-and-drop. Los peligros van desde la ejecución remota de código en la máquina atacada, hasta el completo control del sistema. La brecha drag-and-drop afecta a IE versiones 5.01, 5.5, y 6.0.
El patch de IE incluye arreglos para Install Engine; para una falla en el caching SSL; en la elevación de privilegios en la forma en que IE procesa scripts en tags de imágenes y otras.
Otra alerta crítica es la MS04-034 (disponible para su descarga en la dirección:  http://www.microsoft.com/technet/security/bulletin/MS04-034.mspx) y se dirige a una falla en la ejecución de código en la forma en que Windows procesa carpetas comprimidas. La empresa advierte que una explotación exitosa podría permitir que el atacante tome completo control de un sistema infectado, permitiendo la instalación de programas; la vista, cambio o destrucción de datos; o la creación de nuevas cuentas con plenos privilegios.