Novedades Microsoft de Abril 2013 - 3 Nuevas Vulnerabilidades
Os traemos novedades, de la mano de Microsoft, una serie de novedades a tener en cuenta. Diversos problemas de seguridad que afectan no solo al navegador Explorer, sino a todas las versiones de Windows.
Sergio Méndez Galindo
10 de April · 378 palabras.
10 de April · 378 palabras.
x
🕘 Resumen
Microsoft ha lanzado dos nuevos boletines este mes para solucionar tres vulnerabilidades críticas en Internet Explorer que se basan en el fenómeno “use-after-free”. Estos errores ocurren cuando un programa continuamente usa un puntero de memoria después de que este haya sido liberado, y generalmente ocurren por condiciones erróneas o confusión respecto a qué parte del programa es responsable de liberar la memoria. Microsoft también ha lanzado cinco boletines adicionales calificados como “importantes”, incluyendo uno que informa de “Elevación de Privilegios” por un defecto en el motor antimalware de Windows Defender en los entornos de Windows 8 y Windows RT. Los expertos de Microsoft prevén la aparición de exploits para la vulnerabilidad CVE-2013-1296 en un máximo de 30 días. Es importante que los usuarios actualicen sus versiones de Internet Explorer, incluyendo la versión 10 beta que es ejecutada por Windows RT, en el sitio “Windows Update”. Además, hay vulnerabilidades que afectan a Remote Desktop Connection (conexión de escritorio remoto) que afectan a Windows XP, Vista y Windows 7.Además de estos problemas inmediatos, también han publicado cinco boletines adicionales calificados como “importantes”. Parece ser que los dos boletines calificados como graves intentan solucionar problemas de seguridad basados en vulnerabilidades de tipo “use after free” permitidas por Microsoft Internet Explorer, las cuales pueden ser explotadas a través de internet.
USE AFTER FREE
El fenómeno use-after-free ocurre cuando un programa continúa usando un puntero de memoria después de que este haya sido liberado. Al igual que los “double errors” y problemas de memoria, estos errores suelen ocurrir por 2 motivos:
- Condiciones erróneas o circunstancias excepcionales
- Confusión respecto de qué parte del programa es responsable de liberar la memoria
Para los entornos de estacion de trabajo Windows, las versiones de Internet Explorer correspondientes deben ser actualizadas lo antes posible, incluyendo la versión 10 beta que es ejecutada por Windows RT. El parche para Internet explorer 10 de Windows RT está disponible en el sitio “Windows Update”.
Además de las vulnerabilidades referentes al código de Explorer 10 en sí mismo, existen otras que afectan a Remote Desktop Connection o “conexión de escritorio remoto” en las versiones v6.1 y v7.0, que afectan a Windows XP, Vista y Windows 7. Los expertos del servicio de Escritorio Remoto de Microsoft pronostican la aparición de “exploits” para estas vulnerabilidad -CVE-2013-1296- en un máximo de 30 días.
De entre las vulnerabilidades importantes, podemos destacar un problema reportado de forma privada y que informa de “Elevación de Privilegios”, problema tratado en el CVE-2013-0078, que viene producido por un defecto en el motor antimalware de Windows Defender para los entornos Windows 8 y Windows RT. Esta brecha en la seguridad podría ser explotada por un atacante para ganar acceso a las entrañas del sistema, no siendo la típica vulnerabilidad causada por los kits masivos de “exploitation”. En la organizaciones, esto es algo que debe tratarse con prioridad, mientras que los particulares, normalmente, no son tan apremiados a hacerlo.
Para obtener más detalles podéis visitar el boletín de Abril en http://technet.microsoft.com/en-us/security/bulletin/ms13-apr
Programas PC y software para acelerar el pc en nuestra web Mejor Antivirus