Parches importantes para Excel y Windows

Microsoft dio a conocer ayer los 8 boletines de Seguridad para el mes de abril de 2009. Los boletines afectan a distintas familias de productos:

• 2 de Office,
• 5 de Windows,
• 1 de Internet Explorer, y
• 1 de ISA Server y ForeFront Threat Management Gateway

Según la máxima severidad, hay 5 boletines Críticos, 2 Importantes y uno Moderado.

Pero de particular importancia es la clasificación introducida en Octubre de 2008, el Índice de Explotabilidad.

Según este índice Microsoft da una indicación de la importancia y urgencia de aplicación. Los más importantes para aplicar sin demoras son:

• MS09-009: Vulnerabilidad en Excel (todas las ersiones) que ya está siendo explotado desde Febrero. (Troyano Trojan.Mdropper.AC que descarga archivos de Internet en la maquina afectada)
• MS09-010: Varias vulnerabilidad en Wordpad y conversores de texto de Office. Están siendo explotadas en Internet.
• MS09-012: Varias vulnerabilidades en Windows XP, Vista, Windows Server 2003 y 2008 que están siendo explotadas en Internet.
• MS09-013: Varias vulnerabilidades, una ya es pública, del servicio WinHTTP que permitiría control total del sistema. Afecta a todos los sistemas Windows: 2000, XP, Vista, Server 2003, Server 2008.
• MS09-014: Varias vulnerabilidades de Interner Explorer, una ya es pública. Afecta a todas las versiones del navegador con excepción de la última IE8.

Recomendamos evaluar el impacto de estos ya que son vulnerabilidades que ya están siendo explotadas o son públicas.

Observamos que de estos boletines ninguno corrige la falla reportada en Power Point a comienzos de abril.

Es interesante ver el trabajo que se han tomado y el impacto que puede tener evaluar la corrección de una vulnerabilidad. Por ejemplo respecto del MS09-012, leemos en el blog de Microsoft Security Response Center (MSRC):

Este asunto fue presentado originalmente por Cesar Cerrudo en marzo de 2008 durante el "Hack in the Box (Dubai) 2008". En abril de 2008, publicamos un boletín para informar a los clientes que acciones podían tomar para protegerse. También actualizamos ese boletín en octubre de 2008, alertando a los clientes de la disponibilidad (publica) del código de prueba de concepto que demuestra como atacar sistemas usando técnicas de secuestro de token. Hoy liberamos una actualización que protege de estos problemas sin necesidad de tomar ninguna de las medidas correctivas. Esta actualización ha estado un largo tiempo en producción...

Y sobre el trabajo que se tomaron para comprobar que no trajera problemas, continua ese blog:

...dado el riesgo de seguridad, y a pesar de haber provisto de acciones de mitigacion, quisimos asegurar a los clientes automaticamente. De modo que hicimos los cambios, y luego una extensa serie de pruebas para asegurar que esta actualización fuera de alta calidad y no impactara en implementaciones existentes. Para este boletin, corrimos en más de 600.000 escenarios de prueba diferentes, con más de 6.000 variaciones probadas en una sola configuración. También quisimos asegurarnos que no romperíamos aplicaciones de terceros con la introducción de este cambio. Como resultado, se corrieron pruebas de compatibilidad en 2.500 aplicaciones. Ademas de estas pruebas, seleccionamos 1.000 sistema dentro de Microsoft para probar la actualización ante de publicarla, y en algunos clientes clave firmaron NDA para hacer aun más pruebas en sus ambientes de laboratorio para asegurarse que no rompiera sus aplicaciones de linea de negocios. Algo que notamos es que algunas aplicaciones de terceros pueden requerir actualización para recibir los mismos beneficios de seguridad que provee esta actualización.

Ahora es el turno de los administradores de sistemas para realizar la tarea aplicacion de parches en sus instalaciones y mantener sus plataformas protegidas.

Información relacionada:
Resumen del boletín de seguridad de Microsoft de abril de 2009
MSRC: Token Kidnapping
Hispasec: Boletines de seguridad de Microsoft en abril

Raúl de la Redacción de Segu-info

Suscríbete a nuestro Boletín