Microsoft lanzó el martes una docena de actualizaciones de seguridad que parcharon 20 vulnerabilidades, incluyendo uno encontrado en cada producto de seguridad de sus líneas empresariales y de consumidores, incluyendo un software conjunto que está disponible para correr en el nuevo sistema Windows Vista.
Más de la mitad de los 20 parches –11 en total- fueron calificados como “Críticos”, la calificación más alta en el sistema de puntaje de cuatro pasos de amenazas de Microsoft.
Entre las actualizaciones estás varias que atienden resolución de problemas en numerosas ediciones de Microsoft Office, incluyendo seis parches para Word y uno para PowerPoint y Excel.
Los arreglos más importantes
Pero la actualización que fue considerada por los analistas para ser la más importante es el MS07-010, que parchó una falla crítica en el motor de rastreo de malware usado por Windows OneCare, Windows Defender y Forefront Security y productos Antigen. La falla, dijo Microsoft, podría ser aprovechada por un hacker para atacar un PC supuestamente protegida ya que el motor de rastreo reconoce inapropiadamente archivos PDF (Portable Document Format). Los atacantes podrían enviar PDFs malformados a PCs vía correo electrónico, por ejemplo y tomar control de las computadoras sin interacción de los usuarios.
De acuerdo con Microsoft, la pulga en el motor de rastreo no ha sido usada aún por los atacantes.
No hay problema, dijo Amol Sarwate, que administra el laboratorio de vulnerabilidades de Qualys. La falla en el motor principal de protección de varios productos de (seguridad) de Microsoft puede ser usada para ejecutar ataques de código en una máquina sin interacción del usuario. Y este (es el software) que se supone que protege sus computadoras de escritorio y servidores de los ataques”.
Otros estuvieron de acuerdo. La alerta de Symantec a los clientes de la red de amenazas de su DeepSight, por ejemplo, calificó a MS07-010 con un “10” de un posible 10 en su escala de urgencia. Y Minoo Hamilton, investigador senior de seguridad del vendedor de administración de parches nCircle, comentó que el parche no solo fue un arreglo crítico sino uno vergonzoso para Microsoft.
“Ha habido muchas vulnerabilidades para las que han tenido que parcharse archivos”, dijo Hamilton, “eso es exactamente la clase de cosas que debería esperar de Microsoft para resolver. Tienen que poner más esfuerzo en asegurar su software de seguridad ya que es vergonzoso”.
Lamar Bailey, el oficial senior de operaciones en Internet Security Systems (ISS) de IBM, estuvo en desacuerdo con los pronósticos de Sarwate, Hamilton, y Symantec. “Esos productos actualizan automáticamente, así que la exposición será corta”, dijo Bailey. “No debería sorprenderse si aún ellos mismos no se han actualizado”.
Arreglos del IE
A pesar de la pulga de malware, Bailey manchó el MS07-016, el boletín que parchó tres falla en el in Internet Explorer (IE), ya que un ISS siente que podría haber sido desarrollado de forma correcta. La razón: una vulnerabilidad en como IE procesa las consultas de los servidores FTP (File Transfer Protocol).
“Un montón de sitios de shareware usa actualmente enlaces a un servidor FTP”, dijo Bailey. “Los usuarios no siempre saben que se están conectando a un servidor FTP”. Los atacantes podrían llevar a los usuarios a sitios Web maliciosos que albergan archivos que parecen inocentes, mientras en realidad están explotando la pulga del IE para atacar la PC.
De las tres fallas del IE en MS07-016, dos afecta a la nueva versión del navegador, IE 7, en Windows XP y Windows Server 2003f, a pesar de que la calificación de la falla ha sido reducida a “Importante”. IE 7 en Vista no es un riesgo, afirma Microsoft.
Otro boletín, MS07-014, ha sido anticipado. La actualización de Microsoft Word 2000, Word 2002, Word 2003 y Word 2004 para Mac, parcha cuatro fallas los cuales ya habían sido usados por los hackers. “Le recomendamos a los usuarios también parchar esto inmediatamente, ya que explotan en su estado salvaje”, aconseja Jonathan Bitle, gerente de producto de Qualys.
Tres de las cuatro vulnerabilidades ya usadas datan del pasado diciembre y fueron reportadas en el lanzamiento del mes pasado antes de ser enviadas a último minuto pos asuntos de calidad.
Otros boletines en el parche masivo del día, el martes constituyó un record con dos meses en el 2006 cuando Microsoft también lanzó una docena de actualizaciones que arreglaron fallas en Windows, Office y Visual Studio, varios controladores ActiveX, el formato de archivo de (Rich Text Format), Microsoft Excel y Microsoft PowerPoint.
Los usuarios no pueden obtener los parches de febrero vía el Automatic Update de Windows, del servicio Microsoft Update, o a través de herramientas empresariales tale como Windows Server Update Services (WSUS) y Software Update Services (SUS).
-Por Gregg Keizer
Computerworld