Varios patches críticos de Microsoft en el lote de este mes

10 Jun 2009 en Seguridad

El pasado martes Microsoft liberó diez boletines de seguridad, seis de ellos calificados como “críticos.” Esto incluye a uno en Internet Explorer (IE) que toca incluso a la nueva versión 8.
Este patcheado de junio corrige un total de 31 vulnerabilidades, lo cual representa un importante trabajo para quienes tengan que probar y validar estas correcciones en las organizaciones usuarias. Esta sobrecarga de trabajo, según los expertos en seguridad, puede sorprender a los administradores de IT con su volumen.
Además de atender a brechas en IE, los patches de este mes incluyen agujeros en Active Directory, en el spooler de impresión de Windows y fallas en Microsoft Word y Excel.
Don Leatham, director de la firma de estrategias en seguridad Lumension, dijo que, si tiene que dar prioridad a los patches debido a su volumen, comenzaría por el de Internet Explorer “porque representa la mayor oportunidad de disrupción dentro de una organización.” El patch MS09-019 corrige siete agujeros de seguridad en IE. “Cuatro de los siete bugs son simples problemas de análisis de sintaxis HTML y todas las páginas Web tienen HTML en su core,” agrega.
La gente de Symantec también ve el problema en IE y recomienda corregirlo rápidamente. “Las cuatro correcciones que atienden a la corrupción de objetos de memoria en Internet Explorer aparecen como muy fáciles de explotar. Hemos detectado software malicioso que aprovecha vulnerabilidades similares, ofrecido en toolkits de malware,” nos dice Ben Greenbaum, investigador jefe de Symantec Security Response.
Microsoft corrigió sin hacer ruido otro bug detectado en mayo. Es un agujero en el proceso de requerimientos HTTP de Internet Information Server. Se trata de un bug tipo “zero day” ya que hay código de explotación en circulación. El patch es el MS09-020.
Queda sin corrección el agujero en Windows XP sobre el que Microsoft advirtió a sus usuarios el 29 de mayo
, tras registrarse ataques activos. En el lote no está el patch para la vulnerabilidad DirectShow.
En los últimos tiempos, Microsoft tarda entre un mes y un mes y medio en la resolución de nuevos bugs que van siendo descubiertos.