Urge la aplicación de los patches de importancia crítica en Windows

12 Abr 2007 en Seguridad

El mes pasado, Microsoft informó que no tenía correcciones de seguridad para sus productos. Este mes, el parte es de cinco boletines, cuatro de ellos de importancia crítica.
En esta oportunidad, se destaca la ausencia de correcciones para Office. Este hecho llama la atención porque ya se tiene conocimiento al menos de una vulnerabilidad de importancia en Word, la conocida como CVE-2007-0870 descubierta en febrero de este año.
El martes pasado, los laboratorios de McAfee Avert reportaron una nueva explotación tipo zero-day que afecta a Office. Este caso sigue el patrón de conducta y timing consistente en liberar la explotación al día siguiente del Patch Tuesday de Microsoft, maximizando así la exposición.
Cuatro de los boletines anunciados por Microsoft están en sistemas operativos Windows y tres de ellos son de importancia crítica o de mayor nivel de urgencia. Dos de los cuatro boletines que afectan a Windows, dos son para Vista. El quinto boletín es para Content Management Service, construido sobre tecnología .NET.
Tanto McAfee como otros proveedores de seguridad, urgen a los usuarios a la actualización de sus sistemas lo antes posible.
Según la gente de McAfee, es de especial interés CVE-2007-0938 que atiende a la vulnerabilidad de ejecución remota de código de Content Management Service en MS07-018 y MS07-021; además de la vulnerabilidad de similares características en MsgBox (CSRSS).
Dada la gravedad de estos agujeros de seguridad, los administradores deben tomar todas las medidas de seguridad al tiempo que prueban los patches. Los patches suelen ocasionar problemas. Por ejemplo, un reciente arreglo para una brecha en los cursores animados de Microsoft, terminó causando algunos problemas de compatibilidad.
El período de prueba de los patches en los sistemas corporativos para garantizar que nada se caiga, va de las 96 a las 120 horas en promedio. En ese espacio de tiempo se es vulnerable y es necesario tener alguna otra forma de protección.
El grado de exposición es amplio, ya que se trata de posibles ataques remotos, locales y del lado cliente. Los caminos para esos ataques son varios: amenazas internas, spearphishing o targeted phishing, además de ataques remotos originados en los sistemas operativos de las redes.