Me acaba de llegar un correo de la gente de eEye, en el que se anuncian los parches que cubrirá Microsoft hoy martes, como viene siendo habitual en su ciclo de actualizaciones. Abróchense los cinturones, que los problemas vienen servidos en bandeja de plata.
Básicamente, y me váis a permitir que cite directamente a los chavales de eEye, la ensalada de parches la componen este mes 4 actualizaciones calificadas como críticas, y otras dos consideradas como «importantes».
*Critical*
– MS07-055[11] – Vulnerability in Kodak Image Viewer Could Allow
Remote Code Execution
– MS07-056[12] – Security Update for Outlook Express and Windows Mail
– MS07-057[13] – Cumulative Security Update for Internet Explorer
– MS07-060[14] – Vulnerability in Microsoft Word Could Allow Remote
Code Execution (ATENCIÓN)*Important*
– MS07-058[15] – Vulnerability in RPC Could Allow Denial of Service
– MS07-059[16] – Vulnerability in Windows SharePoint Services 3.0 and
Office SharePoint Server 2007 Could Result in Elevation of Privilege
Within the SharePoint Site
Son todas importantes, pero en negrita he marcado las que a mi juicio son más comprometedoras. Mucho ojo a esta vulnerabilidad en Microsoft Word. Se está explotando activamente, y promete ser una carnicería en sistemas no parcheados. Se puede considerar una vulnerabilidad extremadamente crítica (explotable en remoto, ejecución de código arbitrario y exploits «in the wild»). Afecta a Microsoft Office XP Service Pack 3, Microsoft Office 2003 Service Pack 3 y Microsoft Office 2004 for Mac.
Este problema permite la ejecución de código arbitrario en las máquinas no actualizadas, y faculta a los potenciales atacantes conformar ficheros Word maliciosos que, haciendo uso de una corrupción en la memoria, puedan tomar control de las máquinas vulnerables, ya que los privilegios ganados serían equivalentes a los de usuario que ha iniciado sesión, y ya sabemos todos lo que le gusta a la gente ser Administrador en Windows. Se recomienda actualización urgente e inmediata:
Microsoft Office 2000 SP3:
http://www.microsoft.com/downloads/details.aspx?FamilyId=8B3072FB-5933-47F7-A498-13A93E268E57Microsoft Office XP SP3:
http://www.microsoft.com/downloads/details.aspx?FamilyId=D6B787BB-03FF-4F67-8B69-6011FB18BA75Microsoft Office 2004 for Mac:
http://www.microsoft.com/mac/downloads.aspx#Office2004
La vulnerabilidad que afecta a Explorer tampoco tiene desperdicio. No es tan crítica como la anterior, pero es altamente crítica igualmente y requiere intervención inmediata. En general, cuanto antes actualicéis, mejor. Son problemas muy serios.
Estos avisos al correo de eEyes son gratuítos y francamente útiles. Podéis suscribiros empleando este enlace. Para actualizar, como siempre, Microsoft Update.
Un saludo, y feliz parcheo.