Microsoft publicará siete actualizaciones de seguridad el próximo martes

[clarinetista]

En su ciclo habitual de actualizaciones los segundos martes de cada mes,
Microsoft ha anunciado que en esta ocasión se esperan siete parches de
seguridad, cuatro destinados a su sistema operativo Windows y tres a su
suite ofimática Office.

Si en junio fueron doce los boletines de seguridad (que en realidad
escondían alrededor de dos decenas de vulnerabilidades), este mes son
siete las actualizaciones que prevé publicar Microsoft el día 11 de
julio. De los cuatro para el sistema operativo, alguno alcanza el estado
de crítico, lo que supone que la vulnerabilidad es aprovechable sin
interacción del usuario y permite ejecución de código. De los tres
boletines para Microsoft Office, al menos uno se considera también
crítico. Como es habitual, las actualizaciones requerirán reiniciar el
sistema.

Se espera que en esta tanda de actualizaciones para Microsoft Office se
reparen algunos de los problemas que viene arrastrando esta suite
informática desde hace exactamente un mes, y que se ha cebado con
especial insistencia en Microsoft Excel, del que se han encontrado hasta
cuatro errores graves. Durante la última semana, además, se han hecho
públicos nuevas formas de aprovechar estos errores, muy perfeccionadas,
en las que se elimina la necesidad de la interactividad del usuario y se
dan los detalles para atacar sistemas y versiones concretas.

También, es posible que se incluyan soluciones para al menos uno de los
problemas que ha dado a conocer HD Moore en su
"una-vulnerabilidad-al-día" particular. En una campaña sin precedentes
para lanzar su blog, Moore se ha propuesto hacer pública una
vulnerabilidad cada día que afecte a navegadores. Al parecer, posee una
amplia colección de errores, y ha bautizado al mes de julio como el mes
de los bugs en navegadores, donde elegirá y publicará una muestra cada
uno de sus 31 días. No se centra en Internet Explorer, ni todos los
fallos permitirán la ejecución de código. Sólo uno, hasta ahora, es
susceptible de ser aprovechado para comprometer el sistema. La mayoría
supondrán simples experimentos que servirán para que el navegador deje
de responder o acapare todos los recursos de la máquina. Además, según
Moore, tampoco será muy explícito en sus detalles, por lo que sólo
aquellos que entiendan perfectamente la naturaleza de los errores y
experimenten por ellos mismos, serán capaces de aprovechar los fallos en
los que se pueda finalmente ejecutar código. Eso sí, siempre irán
acompañados de una prueba de concepto funcional para demostrarlos.

De siete bugs hasta el momento publicados por Moore, cinco son para
Internet Explorer, uno para Mozilla y otro para Safari, aunque sólo uno
parece que sea realmente aprovechable más allá de provocar una caída de
la aplicación. Parece que Moore ya ha avisado a Microsoft hace tiempo de
la mayoría de los errores que publica, pero todavía no han sido
resueltos. En sus propias palabras, algunos los ha hecho públicos porque
son simples y de bajo riesgo.

Fuente: Hispasec

[KirtasH]

noticia sacada de hispasec
Salu2

[clarinetista]

Thnks, se me paso ponerlo

[morza2]

El link de la pagina de HD Moore:
http://browserfun.blogspot.com/

salu2

[KirtasH]

Tal y como adelantamos la pasada semana, hoy como segundo martes
de mes, Microsoft siempre fiel a su cita ha publicado siete boletines
de seguridad que solventan un total de 18 vulnerabilidades.

Se han publicado los boletines MS06-033 al MS06-039 y las
actualizaciones distribuidas, según la propia clasificación de
Microsoft, cinco presentan un nivel de gravedad "crítico"
mientras que las otras dos son calificadas como "importantes".

* MS06-033: Evita una vulnerabilidad en ASP.NET que podría
permitir la revelación de información sensible, por la que se
consigue acceso no autorizado a objetos en las carpetas de
aplicaciones por sus nombres explícitos. Afecta a .NET Framework
2.0. Está calificado como "importante".

* MS06-034: Se trata de una actualización para evitar una vulnerabilidad
de ejecución remota de código en Microsoft Internet Information Services
usando Active Server Pages. Afecta a Internet Information Services (IIS)
5.0, 5.1 y 6.0. Según la calificación de Microsoft tiene un nivel
"importante".

* MS06-035: Se trata de una actualización de seguridad para evitar
dos vulnerabilidades descubiertas en el servicio Servidor. Afecta
a Windows 2000, Windows XP y Windows Server 2003. Microsoft califica
esta actualización como "crítica".

* MS06-036: Evita una vulnerabilidad en el cliente DHCP que podría
permitir la ejecución remota de código. Afecta a Windows 2000,
Windows XP y Windows Server 2003. También recibe una calificación
de "crítico".

* MS06-037: Se trata de una actualización para diversas versiones
de Excel que solventan hasta ocho vulnerabilidades diferentes y que
podrían llegar a permitir la ejecución remota de código. Afecta a
Excel 2000, 2002 y 2003. Recibe el nivel de "Crítico".

* MS06-038: Evita tres fallos de seguridad en Microsoft Office que
pueden permitir la ejecución remota de código. Afecta a Office 2000,
XP y 2003; Project 2000 y 2002 y Visio 2002. Según la calificación
de Microsoft tiene un nivel "Crítico".

* MS06-039: Evita dos vulnerabilidades de seguridad en filtros de
Microsoft Office que pueden permitir la ejecución remota de código
arbitrario. Afecta a Office 2000, 2003 y XP; Project 2000 y 2002 y
Microsoft Works Suite 2004, 2005, 2006. Afecta a Windows 2000.
Recibe el nivel de "Crítico".

Las actualizaciones publicadas pueden descargarse a través de Windows
Update y Office Update o consultando los boletines de Microsoft donde
se incluyen las direcciones de descarga directa de cada parche.

Fuente:hispasec