Actualizaciones de seguridad de Microsoft, julio de 2013 – vulnerabilidades graves en IE, DirectShow y TrueType

Como Microsoft prometió en su notificación adelantada de julio, está lanzando siete boletines de seguridad este mes (MS13-052 – MS13-058). Con ellos se parchan por lo menos 34 vulnerabilidades. Seis de los Boletines de Seguridad están calificados como críticos por los problemas de ejecución remota de códigos que parchan. Las vulnerabilidades que se solucionan este mes permiten la ejecución remota de código en todas las versiones de los sistemas operativos Windows, pero la mayoría de estas fallas serias se han denunciado en privado y no se hallaron indicios de que el público las conozca o las haya explotado. Pero algunas son conocidas para el público y llamaron la atención de varios desarrolladores de exploits.
La vulnerabilidad de modo Kernel CVE-2013-3172 se conoce públicamente, así como otra vulnerabilidad de modo kernel que Tavis Ormady hizo pública en mayo. Por desgracia, otra persona integró un exploit que aprovecha esa vulnerabilidad en un metasploit para su distribución y uso público.
También es interesante que la actualización CVE-2013-3129 para el modo kernel, de análisis sintáctico de la fuente TrueType, que afecta a las rutas de códigos en siete paquetes de software diferentes (Office, Lync, Visual Studio, .NET, Silverlight y “Windows components”) se parchó por separado en los boletines de seguridad MS13-052, MS13-053, y MS13-054.
Internet Explorer recibe una atención en bloque con 16 vulnerabilidades de ejecución remota de código y una de “publicación de información” que se parcharon en un sólo boletín, MS13-055. Todas estas vulnerabilidades, a excepción de una, son problemas de corrupción de memoria, y todas las versiones de IE en todos los sistemas operativos siempre sufren el efecto de alguna de ellas.

Este mes también se solucionan problemas graves en múltiples componentes gráficos.

Se está solucionando una grave falla de corrupción de memoria en DirectShow, CVE-2013-3174, que permite la ejecución remota de código en todos los sistemas operativos Windows. DirectShow utiliza el streaming multimedia, y el programa tiene problemas rcon los archivos .gif, un formato de archivo de antaño diseñado en los tiempos de los videos de 8 bits, Windows 3.1 y x486. El mayor problema es que esta vulnerabilidad de ejecución remota de código existe en todas las versiones de Windows.

También hay una vulnerabilidad de decodificación de Windows Media Video en varios dlls (wmvdecod.dll, wmvdmod.dll, y wmv9vcm.dll), que permite la ejecución remota de código. Los dlls permiten el funcionamiento de Windows Media Player y Windows Media Fomat Runtime en todas las versiones de Windows, a excepción de las instalaciones del código del servidor. Pero algunos administradores pueden haber activado la “Desktop Experience” opcional e instalado estos dlls. No todos los dlls en cuestión están instalados en cada uno de los sistemas operativos de forma predeterminada, así que sólo algunos sistemas requieren una actualización MS13-056 de DirectShow.

El análisis sintáctico de la fuente TrueType, la funcionalidad de software afectada en ataques dirigidos que incluyen la operación de Duqu y que se encuentra en el paquete de exploits BlackHole, también permite que se explote otra vulnerabilidad en el uso de gráficos del componente GDI+ en modo kernel. Esta vulnerabilidad también existe en todas las versiones de Windows.

El código metasploit que ataca CVE-2013-3172 y que se soluciona con MS13-053 está limitado a la elevación de privilegios, pero con todo el interés que se le está dando es posible que pronto se convierta en una vulnerabilidad de ejecución remota de código. Considerando que la vulnerabilidad estuvo circulando en Internet en mayo, es un alivio que Microsoft por fin haya publicado un parche completo que la neutralice, así como la vulnerabilidad de TrueType, esta vulnerabilidad win32k.sys permite la ejecución remota de código en todas las versiones del sistema operativo Windows, incluyendo Windows 2012 Core Server.

.NET y Silverlight se parchan con un boletín, y algunas vulnerabilidades son públicasen .