En esta ocasión se esperan nueve boletines de seguridad, seis dedicados a su sistema operativo Windows, uno a Office, otro compartido entre la suite y el sistema operativo y por último uno relativo a Virtual PC.
Si en julio fueron seis boletines de seguridad que salieron a la luz, este mes Microsoft prevé publicar nueve actualizaciones el día 14 de agosto. Al menos uno para Windows alcanza la categoría de crítico. Igual para Office, donde el fallo resulta crítico. El de Microsoft Virtual PC tiene categoría de “importante”.
Adicionalmente, y como viene siendo habitual, Microsoft publicará una actualización para Microsoft Windows Malicious Software Removal Tool. Además, se publicarán cuatro actualizaciones de alta prioridad no relacionadas con la seguridad.
El fallo en el ActiveX de Office descubierto a mediados de junio, del que existe exploit público y no actualización oficial, no parece estar siendo explotado de forma masiva. No se sabe si será corregido en esta ocasión. También se conoce un fallo “compartido” que ha dado que hablar en los últimos días, y que puede corresponder a uno de los parches de este mes.
Este problema (descrito en boletines anteriores) se debe a un fallo de validación de entrada en el manejo de URIs. Direcciones (URIs) de protocolos como mailto:, nntp:, snews:, telnet:, news:… pueden ser modificadas para lanzar cualquier programa del sistema en vez del cliente de correo, por ejemplo. Esto puede ser aprovechado para ejecutar código arbitrario en vez del programa que debería gestionarlos si un usuario de Windows, a través de otro programa, visita una web especialmente manipulada con una URI que contenga el carácter “%” y termine con extensiones ejecutables como .bat y .cmd.
Para reproducir el problema, Internet Explorer 7 debe estar instalado en el sistema y (se creía en un principio) era necesario visitar la página con Firefox, Netscape o Mozilla. Sólo funciona sobre Windows XP y 2003, no sobre Vista.
Firefox (aunque luego se comprobó que no era el único programa que podía ser usado como trampolín de la vulnerabilidad) corrigió su parte del problema en la reciente versión 2.0.0.6, aunque no del todo y de forma provisional. Parece que es responsabilidad de Microsoft atajar el fallo de raíz y quizás lo haga con uno de los parches de este ciclo.
Los usuarios denunciaban que la compañía los había rastreado incluso cuando usaban el modo privado…
El Instituto Valenciano de Competitividad Empresarial financiará aquellas iniciativas que puedan solucionar incertidumbres científicas o…
Solo en el cuarto trimestre las empresas emergentes del país han levantado 1.500 millones de…
La región tiene 13 scaleups y destaca por sus empresas emergentes de salud y agrotech.
Valencia ha atraído en el primer semestre del año 30 millones de euros de inversión…
El diario estadounidense demanda a las dos compañías tecnológicas por haber usado sus contenidos para…