1

Una rara corrección de emergencia de Microsoft

Además: Ataques de cero días en varias aplicaciones de Adobe y una actualización de Firefox.

Microsoft este mes debe sentirse como el niño con el dedo en el dique, tapando agujeros con correcciones parciales regulares y con raras correcciones fuera de ciclo en un intento por impedir que los atacantes desborden la protección.

La corrección parcial fuera de ciclo, crítica para todas las versiones de Internet Explorer en 2000, XP y Vista, resuelve la manipulación por parte de IE de los controles ActiveX defectuosos, creados con la Microsoft Active Template Library (ATL). Es un defecto serio que afecta a muchos controles ActiveX. Por ejemplo, Adobe confirmó (find.pcworld.com/63452) que sus controles ActiveX de Shockwave y Flash Player “utilizan versiones vulnerables de ATL”, y que está trabajando en una solución. El asunto también afecta a IE en Windows Server 2003 y 2008, pero está clasificado como moderadamente severo en esos OS.

El Patch Tuesday regular de Microsoft tapó otros agujeros, incluyendo un defecto de cero días que había sido atacado y que involucraba un control ActiveX usado por Microsoft Video (find.pcworld.com/63453). Aunque la corrección parcial incapacitó el control, que no servía ningún propósito legítimo, no corrigió el defecto subyacente. La solución, crítica para XP y moderada para Windows Server 2003, no afecta a Windows 2000, Vista, o Server 2008.

Una segunda corrección detuvo ataques en el procesamiento de Microsoft DirectShow del contenido de QuickTime (find.pcworld.com/63454). Los ataques, que no dependían de tener Apple QuickTime instalado, se podían activar si una víctima abría o visualizaba un archivo de QuickTime envenenado. DirectX 7, 8.1 y 9.0 en Windows 2000 necesitan la corrección, al igual que DirectX 9.0 en XP y Server 2003.

Las otras correcciones críticas solucionaron agujeros en la manera en que todas las versiones de Windows manejan las fuentes en las páginas de la Web, el correo electrónico y los documentos de Office. Los defectos no habían sido atacados con anterioridad a la corrección parcial, pero son muy obvios. Vea find.pcworld.com/63449.

Un defecto serio en Microsoft Office Web Components involucra un asunto de ActiveX que permite que los usuarios de IE sean atacados. Una amplia gama de versiones y componentes de Office necesitan la corrección; para una lista completa del software afectado, visite find.pcworld.com/63456.

Usted puede conseguir todas las correcciones anteriores por medio de Windows Update.

Parches para Adobe y Firefox

Adobe publicó correcciones para Flash (en todas las plataformas), además de Reader, Air y Acrobat, después de informes de ataques con PDF envenenados para aprovecharse de los defectos de Flash. Consiga la versión de Flash 10.0.32.18 de get.adobe.com/flashplayer. Para Reader, actualice a la versión 9.1.3 abriendo el programa y seleccionando Herramientas • Chequear actualizaciones. Encontrará el último Air en get.adobe.com/air. Vea find.pcworld.com/63457 para vínculos a las actualizaciones de Acrobat para Mac y Windows, conjuntamente con más detalles.

Los usuarios de Firefox deberían mejorar a la última versión disponible para aplicar correcciones de agujeros que existen en las versiones 3 y 3.5, incluyendo un defecto serio en la manipulación de JavaScript en la edición 3.5, más un problema que afecta el uso de los certificados SSL por Firefox 3 para cifrar conexiones seguras de la Web (3.5 ya corrigió ese defecto). pulse Ayuda • Chequear actualizaciones para confirmar su versión. Si todavía está en la versión 3, visite getfirefox.com para descargar 3.5; es una mejora relativamente fácil.

-Erik Larkin

Leave a comment

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *