Microsoft libera seis nuevos parches (3 críticos) más dos boletines de advertencia sobre otros problemas de seguridad
Hoy es martes de parches
y, como se espera, Microsoft libera seis actualizaciones, tres catalogadas como
críticas, que reparan 12 agujeros en Windows, Internet Explorer, Windows Server
y Microsoft Office. Además, Microsoft está relanzando un parche que ofrece
arreglos adicionales al agujero de DNS en Windows 2000 SP4. También publicó dos
boletines de advertencia para ofrecer alternativas y parches opcionales para
otras dos vulnerabilidades.
El punto para comenzar es el MS09-072, dice Jerry Bryant, administrador sénior a cargo del programa de seguridad de Microsoft. Este es un parche crítico que soluciona cuatro vulnerabilidades informadas en privado y una dada a conocer públicamente en el Internet Explorer que podrían permitir la ejecución remota de código. Tiene la calificación más severa del Índice de Explotación de Microsoft, lo que significa que Microsoft confirmó la existencia de código de explotación en la red, o piensa que es probable que pronto se materialicen ataques. En este caso, Bryant dice que el código de prueba de concepto (PoC) para este agujero en IE8 ya está allí afuera.
Observe que MS09-070 también lleva la calificación de 1 en el Índice de Explotación. Este soluciona vulnerabilidades en los Servicios de Federación de AD (ADFS) que podría permitir la ejecución remota de código, y afecta a Windows 2003, Windows 2002 x64, Windows Server 2008, y Windows Server 2008 x64, pero solo lleva la calificación de "importante" porque un "atacante debe poseer credenciales válidas en el servidos vulnerable. Un ataque sólo puede ser llevado a cabo después de autenticarse exitosamente en el servidor que soporte ADFS," dice Microsoft.
Pero la sorpresa de este "martes de parches" es que Microsoft está publicando dos boletines de advertencia que ofrecen dos parches opcionales o alternativas referentes a un agujero en la Autenticación Integrada de Windows (IWA) y la vulnerabilidad en el codec Indeo.
El agujero en IWA permite un ataque de hombre en el medio (MiM). Microsoft dice que este ataque se puede prevenir descargando la característica de Protección Extendida para Autenticación disponible para Windows. Microsoft dice, "Esta característica mejora la protección y manejo de credenciales cuando las conexiones de red de autenticación usan Autenticación Integrada de Windows." El artículo de Technet no ofrece ninguna explicación de porque este sería un parche o característica opcional.
El codec de Indeo tiende a ser usado en versiones antiguas de Windows, Microsoft Windows 2000, Windows XP, y Windows 2003. Microsoft no ofrece un parche y nadie parece saber que planeen ofrecerlo. En lugar de eso quieren que descarguemos una característica agregada opcional que bloquea el lanzamiento del codec Indeo en el Internet Explorer o el Windows Media player. La actualización opcional quita la capacidad de este codec de ser cargado cuando se navega por Internet con cualquier otra aplicación. Debido a que este parche puede interferir con aplicaciones de negocios heredadas, Microsoft está liberando este parche como una notificación, un opcional, aunque será distribuido a los clientes que estén usando alguno de los mecanismos automáticos de actualización de Microsoft.
Traducción: Raul Batista - Segu-info
Fuente: Networkworld
El punto para comenzar es el MS09-072, dice Jerry Bryant, administrador sénior a cargo del programa de seguridad de Microsoft. Este es un parche crítico que soluciona cuatro vulnerabilidades informadas en privado y una dada a conocer públicamente en el Internet Explorer que podrían permitir la ejecución remota de código. Tiene la calificación más severa del Índice de Explotación de Microsoft, lo que significa que Microsoft confirmó la existencia de código de explotación en la red, o piensa que es probable que pronto se materialicen ataques. En este caso, Bryant dice que el código de prueba de concepto (PoC) para este agujero en IE8 ya está allí afuera.
Observe que MS09-070 también lleva la calificación de 1 en el Índice de Explotación. Este soluciona vulnerabilidades en los Servicios de Federación de AD (ADFS) que podría permitir la ejecución remota de código, y afecta a Windows 2003, Windows 2002 x64, Windows Server 2008, y Windows Server 2008 x64, pero solo lleva la calificación de "importante" porque un "atacante debe poseer credenciales válidas en el servidos vulnerable. Un ataque sólo puede ser llevado a cabo después de autenticarse exitosamente en el servidor que soporte ADFS," dice Microsoft.
Pero la sorpresa de este "martes de parches" es que Microsoft está publicando dos boletines de advertencia que ofrecen dos parches opcionales o alternativas referentes a un agujero en la Autenticación Integrada de Windows (IWA) y la vulnerabilidad en el codec Indeo.
El agujero en IWA permite un ataque de hombre en el medio (MiM). Microsoft dice que este ataque se puede prevenir descargando la característica de Protección Extendida para Autenticación disponible para Windows. Microsoft dice, "Esta característica mejora la protección y manejo de credenciales cuando las conexiones de red de autenticación usan Autenticación Integrada de Windows." El artículo de Technet no ofrece ninguna explicación de porque este sería un parche o característica opcional.
El codec de Indeo tiende a ser usado en versiones antiguas de Windows, Microsoft Windows 2000, Windows XP, y Windows 2003. Microsoft no ofrece un parche y nadie parece saber que planeen ofrecerlo. En lugar de eso quieren que descarguemos una característica agregada opcional que bloquea el lanzamiento del codec Indeo en el Internet Explorer o el Windows Media player. La actualización opcional quita la capacidad de este codec de ser cargado cuando se navega por Internet con cualquier otra aplicación. Debido a que este parche puede interferir con aplicaciones de negocios heredadas, Microsoft está liberando este parche como una notificación, un opcional, aunque será distribuido a los clientes que estén usando alguno de los mecanismos automáticos de actualización de Microsoft.
Traducción: Raul Batista - Segu-info
Fuente: Networkworld
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!