Microsoft publicó este segundo martes de abril, ocho boletines de seguridad, cinco de ellos críticos. Posiblemente las vulnerabilidades más graves sean las identificadas en los boletines MS08-021 y MS08-024. Ambas implican fallos críticos que permiten la ejecución remota de código en toda la línea de productos de Windows, incluyendo los recientemente liberados SP1 de Vista y Windows Server 2008.

MS08-021 describe dos desbordamientos de búfer en componentes de la interfase gráfica de Windows (Windows Graphic Display Interface o GDI). La interfase gráfica es la que permite a las aplicaciones utilizar gráficos y textos con formato.

El primero de los problemas, es un error de cálculo cuando se carga un archivo EMF o WMF, modificado maliciosamente. El segundo es un desbordamiento de pila durante el manejo de los parámetros de nombres en archivos EMF. Lo sorprendente es que no se hayan detectados antes estos errores, ya que ambos formatos han recibido mucha atención en cuánto a la seguridad desde hace bastante tiempo, y además afectan a todos los Windows actuales.

El boletín MS08-024 trata de un parche acumulativo para Internet Explorer, e incluye todas las actualizaciones desde IE5 SP4 en Windows 2000, hasta IE7 en Vista SP1 y Windows Server 2008. Curiosamente, soluciona una sola vulnerabilidad, un error en el manejo de flujos de datos (data streams), que podría permitir que un sitio web malicioso tomara el control total del equipo del usuario, siempre que los privilegios del usuario que inició sesión lo permitan.

Esto nos hace recordar una vez más la importancia de no navegar con los privilegios de administrador, sino como un usuario con permisos limitados.

El parche también deshabilita la "molesta" característica del mensaje "Haga clic para activar y usar este control", que fuera agregada por Microsoft hace años por una disputa de patentes, ya que la demanda fue resuelta.

El boletín MS08-022 corrige un crítico agujero en JavaScript y VBScript en Windows 2000, Windows XP y Windows Server 2003. El error se produce en el análisis sintáctico de scripts tanto en páginas web como en archivos locales, y podría llevar a la ejecución de un código malicioso.

La actualización MS08-023 describe un fallo en el control ActiveX HXVZ.DLL, utilizado en el motor de la ayuda de Windows. La vulnerabilidad es crítica solo en Windows 2000 y Windows XP. En Windows Server 2003 y 2008, la configuración por defecto que incluye la Configuración de Seguridad Avanzada activada (Enhanced Security Configuration), impide que se cargue ese control en una página web, el principal escenario para un ataque.

En Internet Explorer 7, este control tampoco está en la lista de controles ActiveX permitidos por defecto, lo que también mitiga la posibilidad de que se pueda explotar este fallo maliciosamente.

El parche deshabilita dicho control, y también desactiva un control crítico del Yahoo! Music Jukebox ActiveX, cuya vulnerabilidad ha sido revelada por esa empresa.

El boletín MS08-025 trata de una elevación de privilegios en el kernel de Windows, que afecta a todas las versiones de este sistema. Una manipulación incorrecta de los datos enviados por el usuario, pueden permitir a un atacante obtener permisos elevados.

MS08-020 describe una vulnerabilidad del tipo "spoofing", que afecta al cliente DNS de todas las versiones de Windows, excepto Vista con Service Pack 1 y Windows Server 2008. Utilizando este fallo, un servidor de nombres malicioso (DNS Server), podría enviar información falsa que redirija al usuario a un sitio fraudulento.

Además de lo visto hasta ahora, dos de las vulnerabilidades corregidas por esta ronda de parches, afectan componentes de Microsoft Office. El boletín MS08-018 describe una posible ejecución remota de código en Microsoft Project 2000 Service Release 1, Project 2002 Service Pack 1, y Project 2003 Service Pack 2.

Estas versiones fallan al no manejar adecuadamente ciertos archivos modificados maliciosamente, lo que puede conducir a la ejecución de programas no deseados.

Este problema es crítico solo en sistemas con Project 2000, posiblemente porque esta versión no incluye por defecto la herramienta Office Document Open Confirmation Tool, que hace que se requiera la confirmación del usuario para abrir cualquier documento de Office que sea abierto desde el Internet Explorer. Para los demás productos, la vulnerabilidad está catalogada solo como "importante".

La actualización MS08-019, trata de dos vulnerabilidades que afectan a todas las versiones actuales de Microsoft Visio, desde Visio 2002 Service Pack 2 hasta Visio 2007 Service Pack 1. Los fallos pueden permitir la ejecución remota de código. Los visores de Visio no son afectados.

La primera de dichas vulnerabilidades está catalogada como importante, ya que se requiere la acción del usuario para cargar un archivo malicioso, no es posible la ejecución automática de código.

El segundo fallo se produce al analizar los archivos DXF de AutoCAD, y está catalogado como moderado, debido a que ésta función no está instalada por defecto.


Referencias:

[url]http://www.microsoft.com/technet/security/bulletin/ms08-018.mspx[/url]
[url]http://www.microsoft.com/technet/security/bulletin/ms08-019.mspx[/url]
[url]http://www.microsoft.com/technet/security/bulletin/ms08-020.mspx[/url]
[url]http://www.microsoft.com/technet/security/bulletin/ms08-021.mspx[/url]
[url]http://www.microsoft.com/technet/security/bulletin/ms08-022.mspx[/url]
[url]http://www.microsoft.com/technet/security/bulletin/ms08-023.mspx[/url]
[url]http://www.microsoft.com/technet/security/bulletin/ms08-024.mspx[/url]
[url]http://www.microsoft.com/technet/security/bulletin/ms08-025.mspx[/url]

__________________
Prefiero morir de pie que vivir de rodillas

Puede que nos quiten la vida, pero jamas nos quitaran la libertad