Martes de parches, agosto de 2012 – Una amplia gama de objetivos del lado del cliente y del servidor

Agosto trajo consigo una amplia gama de actualizaciones para tecnologías de Microsoft, y este mes incluyen programas vulnerables del lado del cliente y del servidor. Se publicaron nueve boletines (de MS12-052 a MS12-060) para actualizar 26 vulnerabilidades enumeradas (13 de Microsoft, 13 de Oracle), las más urgentes de las cuales incluyen el código en Internet Explorer, un ActiveX Control expuesto mediante Microsoft Word y Excel y muchos servicios de redes. La comunidad de Microsoft ahora tiene a su disposición cinco boletines de seguridad que contiene código asegurado para muchos CVEs calificados como críticos.

El componente MSCOMCTL.ocx ActiveX expuesto por Word, Excel, IE y Wordpad se ha estado explotando con mucha fuerza y de forma muy activa en ataques dirigidos importantes en todo el mundo durante los últimos meses, debido a las fallas del código que se describen en CVE-2012-0158. Describimos un ejemplo de este exploit relacionado con APT en junio y, en general, seguimos previniendo nuevos exploits que explotan CVE-2012-0158, sobre todo con nuestra “prevención automática de exploits”. Bueno, creemos que los atacantes seguirán usando Word y Excel en ataques dirigidos mientras Microsoft parcha CVE-2012-1856 este mes. Yo creo que los cibercriminales seguirán utilizando archivos comprimidos protegidos con estos exploits en sus ataques, mientras que los defensores de las redes tratan de protegerlas y quienes desarrollan soluciones antivirus mejoran sus productos para que sea más difícil afectar a los objetivos mejor protegidos y de alto perfil.

MS12-052 parcha fallas críticas en códigos de Internet Explorer, incluyendo una del problemático tipo de error de corrupción de memoria de clase “use-after-free” descrito en CVE-2012-1526. Estos errores son del tipo que se abre camino en los paquetes de exploit COTS como Blackhole y Phoenix, y se han incluido en proyectos de explotación masiva cuando se encuentran errores en WordPress y otras plataformas. También se están parchando muchos otros errores en Internet Explorer 7, 8 y 9, incluyendo la actualización que faltaba de MSXML5 para CVE-2012-1889 (sólo “algunas versiones” de Office 2003 y 2007 incluían esa versión del componente).

Un extraño grupo de fallas en el código del servicio de análisis sintáctico de cadenas de caracteres ofrece a los atacantes que ya se encuentran dentro de una red la posibilidad de expandirse dentro de una compañía después de haber logrado la intrusión. Microsoft predice que los exploits públicos estarán disponibles para estas vulnerabilidades unos 30 días después del lanzamiento de este parche. MS12-054 ofrece esta ruta crítica, pero más difícil de alcanzar, con un código asegurado.

Del lado del servidor, se están parchando las fallas en las bibliotecas externas de Oracle “Outside In” que funcionan con Exchange: los informes y resultados de investigaciones sobre los errores en el código para indexar el contenido comenzaron a verse en julio. El US-CERT envió el 17 de julio una nota en la que describía el problema a Exchange, Oracle Fusion Middleware, Guidance Encase Forensics, AccessData FTK y Novell Groupwise. Parece que es la primera vez que Microsoft incluye un parche para códigos de Oracle en su lanzamiento pero, por desgracia, no creo que indique que Microsoft Update vaya a mantener y publicar las actualizaciones de Oracle en Windows.

Aquí puedes ver la lista completa de los boletines de seguridad de Microsoft de este mes.