Categories: SeguridadVirus

Microsoft publicará doce boletines de seguridad el próximo martes

Microsoft ha anunciado que en esta ocasión se esperan doce boletines de seguridad, ocho dedicados a su sistema operativo Windows y cuatro a Office (uno de ellos compartido entre amos).

Si en enero fueron dos boletines de seguridad que salieron a la luz, este mes Microsoft prevé publicar doce actualizaciones el día doce de febrero. Siete alcanzan la categoría de “críticas” (ejecución remota de código) y otros cinco son calificados como “importantes”.

Adicionalmente, y como viene siendo habitual, Microsoft publicará una actualización para Microsoft Windows Malicious Software Removal Tool. Además, se publicarán siete actualizaciones de alta prioridad no relacionadas con la seguridad.

Entre tanta vulnerabilidad, no queda títere con cabeza. De forma muy genérica, Microsoft anuncia que los fallos calificados de críticos afectan a Windows, Office, Works, Visual Basic, VBScript, Jscript, Internet Explorer… y las importantes están relacionadas con una denegación de servicio en el Directorio Activo y elevación de privilegios y ejecución remota de código en IIS, entre otras.

Esta macro-actualización viene (como viene siendo habitual) después de un mes de relativa calma (enero), que se saldó con dos actualizaciones. Doce boletines es uno de los números más altos que ha manejado mensualmente Microsoft. Se alcanzó esta misma cifra en las actualizaciones de febrero de 2007 y en junio y agosto de 2006 (un verano especialmente plagado de fallos de seguridad). Además, cada boletín puede agrupar un número indeterminado de vulnerabilidades.

Sorprende, (y preocupa) especialmente la ejecución remota de código en Internet Information Server (IIS), el servidor web de Microsoft. Al contrario que la versión 5, la versión 6 de IIS (disponible desde Windows 2003), se ha ganado una buena reputación con respecto a la seguridad, con sólo tres vulnerabilidades de gravedad media en toda su historia. Al menos, se supone que su impacto en el caso de ejecución de código sería reducido, puesto que IIS se ejecuta bajo la cuenta de “servicios de red” (NetworkServices).

Los “usuarios” especiales de sistema NetworkServices y LocalService fueron introducidos con XP para la ejecución de muchos servicios de red, y tienen pocos privilegios sobre el resto del sistema operativo. Por el contrario, en Windows 2000, todos los servicios se ejecutan bajo la cuenta SYSTEM, algo que se corrigió en 2003 y XP con la introducción de esas cuentas restringidas. Fue un importante avance con respecto a la seguridad, rebajando los privilegios de los servicios que daban “la cara” a la red. Siguiendo la filosofía fallida anterior (previa a XP), IIS 5 se ejecutaba bajo la cuenta SYSTEM, con total control del sistema. Una potencial vulnerabilidad que derivase en ejecución de código era entonces fatal para el resto del sistema operativo. Hoy en día, en IIS 6 una ejecución de código con permisos de NetworkServices puede al menos no considerarse absolutamente crítica.

Redacción

Recent Posts

Google paga 5.000 millones de dólares para resolver una demanda colectiva

Los usuarios denunciaban que la compañía los había rastreado incluso cuando usaban el modo privado…

11 meses ago

Las pymes valencianas pueden optar a ayudas de 5,5 millones de euros por proyectos de I+D

El Instituto Valenciano de Competitividad Empresarial financiará aquellas iniciativas que puedan solucionar incertidumbres científicas o…

11 meses ago

La guerra entre Israel y Gaza no acobarda a los inversores extranjeros de startups

Solo en el cuarto trimestre las empresas emergentes del país han levantado 1.500 millones de…

11 meses ago

Navarra ya cuenta con más de 80 startups

La región tiene 13 scaleups y destaca por sus empresas emergentes de salud y agrotech.

11 meses ago

Las startups valencianas progresaron adecuadamente en 2023

Valencia ha atraído en el primer semestre del año 30 millones de euros de inversión…

11 meses ago

El New York Times acusa a Open AI y Microsoft de infringir sus derechos de autor

El diario estadounidense demanda a las dos compañías tecnológicas por haber usado sus contenidos para…

11 meses ago