El Centro de respuesta de seguridad de Microsoft (MSRC) está cerrando 2012 con otra completa publicación de siete actualizaciones de seguridad con parches para memorias corruptas en aplicaciones, servidores y códigos del sistema, para un problema en Certificate Bypass y una serie de parches para Oracle Outside. Con estas siete actualizaciones se parchan al menos 11 vulnerabilidades, descritas con exactitud en la notificación Advanced de este mes. El MSRC recomienda que se apliquen de inmediato las actualizaciones para Internet Explorer (MS12-077) y Microsoft Word (MS12-079).
El Boletín de seguridad de Microsoft para este mes está dirigido a una variedad de versiones de software y plataformas. Para los usuarios, esto significa asegurarse de que el software Microsoft Update se active, ejecute y seleccione los parches aplicados. La gran mayoría de los usuarios de Windows también deberá reiniciar sus sistemas tras la actualización; las actualizaciones para Internet Explorer, Font Parsing en el nivel kernel y la gestión de archivos requieren reiniciar el sistema; no es posible el hotpatching. Esto significa que la reparación no se activa en el sistema hasta que éste se reinicie. Para los encargados de los sistemas informáticos en organizaciones grandes y pequeñas, la publicación de este mes también requiere dedicar un tiempo para determinar si la empresa tiene o no versiones de software que necesiten parches, y para actuar en consecuencia.
El código de Microsoft Internet Explorer mantiene tres distintas vulnerabilidades use-after-free que se parcharán este mes. Esta categoría de fallas “use-after-free” sigue siendo muy difícil de eliminar, incluso en significativos vectores de ataque como Internet Explorer. Los ataques de ciberespionaje Aurora, en 2010, usaron este tipo de vulnerabilidad contra Google, Adobe y una larga lista de compañías internacionales que han preferido mantener estos incidentes en secreto. Es posible que para al menos una de estas vulnerabilidades de Internet Explorer se haya desarrollado un exploit de código.
Microsoft Office, como vector de los ataques spearphish, parece ser el blanco más popular en el segundo semestre del año. CVE-2012-0158 yCVE-2010-3333 siguen detectándose en adjuntos maliciosos (en archivos maliciosos Word y Excel) de ataques dirigidos en todo el mundo, mientras que Adobe Reader y Flash, que fueron ampliamente abusados, casi han desaparecido del radar. No sé si esto coincide con la publicación y distribución del nuevo Adobe Reader X blindado, y con una sandbox reforzada de Flash, o si sencillamente esa ofensiva en las inversiones en seguridad el pasado verano estaba dirigida a la producción de paquetes de herramientas para los actuales exploits para Office. De cualquier manera, esta falla en Word debe parcharse de inmediato.
Por desgracia, hemos visto exploits para el nivel kernel incrustados en paquetes de explotación masiva como Blackhole. El exploit Duqu, que se usó en ataques dirigidos en el Medio Oriente se está volviendo a usar en esta forma. Este mes, MS12-078 parcha el modo RCE del kernel para fallas font parsing en fuentes OpenType y TrueType. La reciente actividad masiva de explotación se ha incrementado y el interés en las vulnerabilidades Font parsing en el nivel kernel coincide con la publicación del código abierto github de las herramientas Font Fuzzing y proyectos de Microsoft.
Este mes se está actualizando Oracle Outside para reparar un montón de vulnerabilidades críticas de conocimiento público, como sucedió en agosto. También se están reparando importantes componentes de Microsoft Exchange, DirectPlay e IPHTTPS.
Asimismo, al anuncio de la publicación de actualizaciones de Microsoft siguió otro sobre la publicación de actualizaciones de seguridad para Adobe Flash que afecta a los usuarios de Internet Explorer, entre otros. Estas fallas incluyen una vulnerabilidad RCE de desborde de buffer (CVE-2012-5676), una vulnerabilidad de desborde entero RCE (CVE-2012-5677), y una vulnerabilidad de corrupción de memoria (CVE-2012-5678). En mi Workstation tengo varios navegadores y cada uno usa diferentes implementaciones de Flash. En mi caso, respecto a mis sistemas de producción, visito esta página con cada uno de mis navegadores para determinar si cuentan o no con la última versión de Flash.
Microsoft Security Bulletins de dicembre 2012: IE, MSWord, Font Parsing y otros