Microsoft publicará siete actualizaciones de seguridad el próximo martes

Si en junio fueron doce los boletines de seguridad (que en realidad escondían alrededor de dos decenas de vulnerabilidades), este mes son siete las actualizaciones que prevé publicar Microsoft el día 11 de julio. De los cuatro para el sistema operativo, alguno alcanza el estado de crítico, lo que supone que la vulnerabilidad es aprovechable sin interacción del usuario y permite ejecución de código. De los tres boletines para Microsoft Office, al menos uno se considera también crítico. Como es habitual, las actualizaciones requerirán reiniciar el sistema.

Se espera que en esta tanda de actualizaciones para Microsoft Office se reparen algunos de los problemas que viene arrastrando esta suite informática desde hace exactamente un mes, y que se ha cebado con especial insistencia en Microsoft Excel, del que se han encontrado hasta cuatro errores graves. Durante la última semana, además, se han hecho públicos nuevas formas de aprovechar estos errores, muy perfeccionadas, en las que se elimina la necesidad de la interactividad del usuario y se dan los detalles para atacar sistemas y versiones concretas.

También, es posible que se incluyan soluciones para al menos uno de los problemas que ha dado a conocer HD Moore en su “una-vulnerabilidad-al-día” particular. En una campaña sin precedentes para lanzar su blog, Moore se ha propuesto hacer pública una vulnerabilidad cada día que afecte a navegadores. Al parecer, posee una amplia colección de errores, y ha bautizado al mes de julio como el mes de los bugs en navegadores, donde elegirá y publicará una muestra cada uno de sus 31 días. No se centra en Internet Explorer, ni todos los fallos permitirán la ejecución de código. Sólo uno, hasta ahora, es susceptible de ser aprovechado para comprometer el sistema. La mayoría supondrán simples experimentos que servirán para que el navegador deje de responder o acapare todos los recursos de la máquina. Además, según Moore, tampoco será muy explícito en sus detalles, por lo que sólo aquellos que entiendan perfectamente la naturaleza de los errores y experimenten por ellos mismos, serán capaces de aprovechar los fallos en los que se pueda finalmente ejecutar código. Eso sí, siempre irán acompañados de una prueba de concepto funcional para demostrarlos.

De siete bugs hasta el momento publicados por Moore, cinco son para Internet Explorer, uno para Mozilla y otro para Safari, aunque sólo uno parece que sea realmente aprovechable más allá de provocar una caída de la aplicación. Parece que Moore ya ha avisado a Microsoft hace tiempo de la mayoría de los errores que publica, pero todavía no han sido resueltos. En sus propias palabras, algunos los ha hecho públicos porque son simples y de bajo riesgo.

Hispasec Sistemas publicará puntualmente a través de este boletín información detallada sobre los nuevos parches.