Actualizaciones de Microsoft, agosto de 2013: parches para vulnerabilidades críticas en IE, análisis sintácticos de fuentes de OpenType y fallas en Exchange OWA

Microsoft ha lanzado hoy ocho boletines de seguridad (de MS13-059 a MS13-066) para una gran variedad de tecnologías vulnerables y categorías de exploits. Hasta ahora no se han visto casos de explotación pública de las vulnerabilidades críticas. Los boletines más interesantes de este mes se ocupan de las vulnerabilidades de ejecución remota de códigos (RCE) y elevación de privilegios (EoP) en Internet Explorer, componentes de Windows y, una vez más, componentes Exchange/OWA con licencia de Oracle. El lanzamiento de este mes también contiene soluciones para RPC, controladores de kernel, Active Directory y la pila de redes.

MS13-059 es la actualización prioritaria para los clientes de Windows, ya que soluciona nueve vulnerabilidades críticas de corrupción de memoria (que se parecen a las use-after-free) en IE6, IE7, IE8, IE9, IE10 y hasta la vista previa de IE11 en la versión de prueba de Windows 8.1, además de solucionar un XSS causado por un fallo en la administración de fuentes Kanji y a códigos dañados en el mecanismo de integridad de Windows “Windows Integrity Mechanism” que se usa para aislar aplicaciones, como Internet Explorer, Adobe Reader y Google Chrome, en una caja de arena. La severidad máxima de las vulnerabilidades en Windows server es “moderada” y no afectan para nada las instalaciones de “Server Core”. Los administradores deben consultar los rangos de severidad y las tablas de impacto máximo para saber a qué parches dar prioridad, pero lo mejor es que quienes necesiten priorizar la instalación de parches no naveguen desde este tipo de sistemas.

MS13-060 corrige códigos en el Procesador de Scripts Unicode implementando la gestión de fuentes OpenType, un formato desarrollado por Microsoft y Adobe en la última época, construido sobre el formato TrueType en USB10.dll. Windows utiliza este dll y muchos tipos de aplicaciones de terceras partes para administrar scripts que se leen de derecha a izquierda, como árabe y hebreo, y otras fuentes complejas como indio y tailandés. La vulnerabilidad es de modo de usuario y afecta sólo a las versiones de Windows XP SP 2 y 3 (también de 64 bits) y Windows 2003. Estos sistemas siguen siendo populares, en especial en sistemas gubernamentales e infraestructuras críticas de todo el mundo. Los exploits se pueden expandir mediante ataques phishing dirigidos (spearphish) como ocurrió con Duqu, o con un sitio web para un navegador como Internet Explorer, como ocurrió con una copia del código malicioso Duqu como el paquete de exploits Blackhole, que sigue activo y distribuyéndose.

Otra actualización interesante es la de MS13-061, que parcha códigos en componentes de terceros construidos por Oracle y con licencia de Microsoft para Outlook Web Access en Exchange Server 2007, 2010 y 2013. El parche no requiere que se reinicie el sistema, pero reiniciará los servicios relacionados con Exchange. Lo interesante de estas vulnerabilidades críticas es que permiten la explotación de las características WebReady Document Viewing y Data Loss Prevention en OWA para la ejecución de código no sólo en el sistema del cliente, sino también en el mismo servidor con credenciales LocalService. Entonces, un sistema cliente que navega por los códigos que recibió en su cuenta de correos puede ejecutar códigos de forma remota en el servidor en el contexto del servicio, lo que es muy problemático.
Por favor revisa los boletines y actualiza tus sistemas lo antes posible. La mayoría de las vulnerabilidades de este mes se denunciaron en privado, pero aun así son un riesgo notable y los problemas y explotación de Exchange son de conocimiento público.