Microsoft publicará seis boletines de seguridad el próximo martes
En su ciclo habitual de actualizaciones los segundos martes de cada mes, Microsoft ha anunciado que en esta ocasión se esperan seis boletines de seguridad, cinco destinados a su sistema operativo Windows, y uno destinado al control ActiveX vulnerable de XML Core Services.
Si en octubre fueron diez los boletines de seguridad (aunque previamente se anunciaron once), este mes son seis las actualizaciones que prevé publicar Microsoft el día 14 de noviembre. De los cinco para el sistema operativo, alguno alcanza el estado de crítico. El boletín para XML Core Services también alcanza ese rango. Como es habitual, las actualizaciones requerirán reiniciar el sistema, y algunos boletines podrán reparar más de un error.
Llama la atención que se especifique claramente que se va a corregir la vulnerabilidad en XML Core Services descubierta el 4 de noviembre y de la que circulan ya numerosos exploits públicos. Normalmente no se ofrecen demasiados detalles sobre lo que se va a corregir y lo que no. En octubre, por ejemplo, se corrigió una vulnerabilidad (según el boletín MS06-061) también en XML Core Services (versión 3.0, en este caso) y no fue diferenciada en su nota de avance, sino que se incluyó como una corrección más para el sistema operativo. Quizás sea una forma de “tranquilizar” a los afectados, para que no queden dudas sobre si la grave vulnerabilidad será corregida o no.
Se trata de un fallo en el control ActiveX de XMLHTTP 4.0 (librería msxml4.dll) concretamente en la función setRequestHeader. Microsoft XML Core Services (MSXML) permite comunicación XML estándar a JScript, VBScript (lenguajes propietarios de Microsoft que utiliza Internet Explorer, principal vector de ataque para esta vulnerabilidad) y a Visual Studio 6.0.
También se espera que corrija otra grave vulnerabilidad encontrada en Visual Studio 2005 y que afecta a la librería WmiScriptUtils.dll (sólo se podría ser vulnerable si se tiene esta librería instalada). Aunque la forma de aprovechar esta vulnerabilidad no es tan “popular” como la anterior, de este problema también se han detectado ataques que intentan aprovecharla.
Es de esperar que por primera vez, se distribuyan parches oficiales para Internet Explorer 7.
Hispasec Sistemas publicará puntualmente a través de este boletín información detallada sobre los nuevos parches.
