Martes de parches, julio de 2012 – No pierdas de vista al navegador

El martes de parches de este mes trae consigo tres boletines “críticos” que se concentran en vulnerabilidades del componente Windows/navegador web y otros seis boletines calificados como “importantes”. En otras palabras, dos de los componentes críticos se consideran componentes de “Windows”, pero lo más posible es que se los ataque mediante el navegador web. Además, el boletín de mayor prioridad parcha la vulnerabilidad CVE-2012-1889 que explotan no sólo los atacantes que buscan blancos de gran valor, sino también los paquetes de exploit comunes que están a la venta.

Los productos Kaspersky detectan las páginas web maliciosas que explotan CVE-2012-1889 con “HEUR:Exploit.Script.Generic”. La adición de un exploit activo que ataca MSXML Core Services 3.0 en IE6 e IE7 XPSP3 al Metasploit Framework el 12 de junio ayudo a hacerlo más popular. Aunque parezca que atacar XP limitaría su alcance, es importante notar que muchos estudios de mercado e informes indican que Windows XP continúa teniendo el mayor dominio en el mercado de los sistemas operativos. Lo interesante es que el boletín MS12-043 que neutraliza esta vulnerabilidad parcha MSXML Core Services 3, 4, y 6, dejando de lado la versión 5. Las versiones 3 y 6 vienen con Windows. Como corresponde, msxml3.dll y msxml6.dll se encuentran en c:windowssystem32 en todas las versiones que se admiten de Windows, pero las demás versiones las instalan Microsoft Office y otros programas.

Otro de los parches, MS12-045, parcha una vulnerabilidad MDAC que permite los ataques drive-by del lado del cliente. Este parche es muy parecido a MS06-014, que parchaba una de las vulnerabilidades del lado del cliente más duraderas, confiables y atacadas de la tecnología de Microsoft. Por años, la Russian Business Network, compradores de MPack y después otros cibercriminales, explotaron esta vulnerabilidad para distribuir Torpig y Rustock, mientras que el mercado naciente de paquetes de exploits se solidificaba en 2006. La vulnerabilidad sigue incluyéndose en algunos de los paneles de control de paquetes de exploits activos que detectamos. Veremos cómo se compara con este nuevo problema MDAC.

El tercer boletín que combate las vulnerabilidades “críticas” del lado del cliente soluciona algunas vulnerabilidades más recientes que se están explotando (“Cached Object Remote Code Execution Vulnerability – CVE-2012-1522″, “Attribute Remove Remote Code Execution Vulnerability – CVE-2012-1524”) que introdujo la propia versión 9 de Internet Explorer. Las versiones 6, 7 y 8 no tienen el código vulnerable.

Con esto, te dejamos para que parches tus sistemas como de costumbre.