Microsoft publica el esperado parche para la vulnerabilidad de Internet Explorer

Microsoft ha publicado la actualización para su navegador Internet Explorer. La instalación inmediata de este parche es imprescindible, ya que la vulnerabilidad es crítica y está siendo aprovechada de forma activa por atacantes.

El problema puede permitir al atacante la ejecución de código arbitrario, sin interacción del usuario con tan solo visitar una página web comprometida. La vulnerabilidad, que afecta a todas las versiones de Internet Explorer, reside en el manejo de etiquetas XML. Además se ha comprobado que el fallo lleva tiempo siendo activamente aprovechado por webs para instalar malware.

Según algunos medios el número de ordenadores infectados puede llegar a los dos millones, a través de más de 100.000 sitios web legítimos (aunque la mayoría de ellos chinos) comprometidos para aprovechar la vulnerabilidad e infectar automáticamente a los visitantes.

El fallo que se hizo público la semana pasada, justo el día antes de la publicación mensual de boletines, ha obligado a Microsoft a trabajar contrarreloj y en apenas nueve días ha publicado un boletín fuera de ciclo (el MS08-078) en el que anuncia la esperada actualización. Hay que tener en cuenta que en este tiempo se ha desarrollado, corregido, probado, evaluado y distribuido la actualización para todas las versiones de IE, en todas las plataformas e idiomas posibles (más de 300 versiones diferentes según Microsoft). Aunque todo esto no impide que en el futuro pueda detectarse algún problema con el parche, debido a las prisas con que se ha llevado a cabo todo el proceso.

La actualización está disponible a través de los medios habituales, desde Windows Update o a a través de los enlaces de descarga disponibles en el boletín MS08-078:
http://www.microsoft.com/spain/technet/security/bulletin/ms08-078.mspx

Los sistemas configurados para la instalación automática de las actualizaciones ya han debido actualizarse.

Más Información:

Boletín de seguridad de Microsoft MS08-078 – Crítico
Actualización de seguridad para Internet Explorer (960714)
http://www.microsoft.com/spain/technet/security/bulletin/ms08-078.mspx

Rise of IE Zero-Day Through SQL Injection
https://forums.symantec.com/t5/Vulnerabilities-Exploits/Rise-of-IE-Zero-Day-Through-SQL-Injection/ba-p/372832#A182

Actualizaciones críticas para los navegadores más populares… en especial para Internet Explorer

Microsoft ha sufrido durante la última semana uno de los peores escenarios conocidos para una vulnerabilidad: es crítica y ha sido descubierta mientras estaba siendo aprovechada por atacantes. Esto implica que todo usuario de Internet Explorer (donde reside el problema) ha estado más o menos expuesto a ejecución de código arbitrario. Finalmente emitirá hoy una actualización de emergencia para solucionar el fallo. Además Firefox, Safari y Opera, los otros navegadores más populares, han actualizado también en los últimos días para solucionar graves problemas de seguridad.

Los problemas de seguridad en todos los navegadores son una constante. Desde que se tomara consciencia general de la seguridad en remoto del sistema, (añadiendo cortafuegos) y se mejoraran los sistemas de correo (con clientes más seguro por defecto y filtros perimetrales), los asaltos se han desviado a los navegadores. Este es el vector de ataque por excelencia hoy en día para el malware: el usuario visita una página y se intenta explotar una vulnerabilidad del navegador para instalar algún código. Y no sólo al visitar webs de dudosa reputación: muchas páginas legítimas (gracias a problemas de seguridad de sus servidores) están ayudando inconscientemente a propagar malware que los atacantes previamente han incrustado en ellas.

El peor escenario es para Internet Explorer

Así las cosas, un problema de seguridad en un navegador, sea cual sea, supone un importante riesgo. Para Microsoft el asunto se ha complicado en las últimas semanas, por muchas razones. Un día antes del segundo martes del mes de diciembre un mensaje en un foro chino hacía pública una vulnerabilidad (en principio en Internet Explorer 7, luego se comprobó que afectaba a todas las versiones). No existía parche oficial disponible, no necesitaba interacción por parte del usuario y permitía ejecución de código arbitrario con los permisos del usuario usando el navegador. La vulnerabilidad reside en el manejo de etiquetas XML. Se observó que el fallo estaba siendo activamente aprovechado por webs desde hacía tiempo para instalar malware. Microsoft se apresuró a reconocer el fallo y publicar un buen número de métodos para mitigar el problema.

Internet Explorer es el navegador favorito de los atacantes por su cuota de mercado, lo que permite a los atacantes llegar a un mayor número de víctimas. Para complicar el tema, el exploit se hizo público rápidamente, junto con todos los detalles técnicos del fallo. El incidente tenía todos los ingredientes para convertirse en desastre. Finalmente Microsoft ha anunciado que una semana después, el día 17, publicará un parche para solucionar el fallo.

Semana de actualización para otros navegadores

Pero Internet Explorer no es el único navegador que necesita ser actualizado en estos días. Parece que todos se han puesto de acuerdo para lanzar nuevas versiones que corrigen fallos de seguridad. Firefox acaba de anunciar su versión 3.0.5 y 2.0.0.19 (parece que la última de esta rama). Esta nueva versión corrige hasta 11 vulnerabilidades, 3 de ellas críticas, que la Fundación Mozillla (como hace Microsoft) agrupa en 8 boletines de seguridad.

Opera, por su parte, acaba de publicar también su versión 9.63, que corrige siete problemas de seguridad (uno de ellos, leve, descubierto por Matthew de Hispasec Sistemas).

Mac OS, por su parte, acaba de publicar una de sus macro-actualizaciones, que soluciona 21 fallos de seguridad de su sistema operativo, varios de ellos en relación directa con su navegador Safari.

Existe una prueba de concepto pública para uno de los problemas de Firefox, aunque al menos para estos navegadores, no se tiene evidencia de que los fallos estén siendo aprovechados activamente. Esto no exime de una inmediata actualización.

Más Información:

Microsoft Security Bulletin Advance Notification for December 2008
http://www.microsoft.com/technet/security/Bulletin/MS08-dec.mspx

Opera 9.63 for Windows Changelog
http://www.opera.com/docs/changelogs/windows/963/

Security Advisories for Firefox 3.0
http://www.mozilla.org/security/known-vulnerabilities/firefox30.html

About the security content of Security Update 2008-008 / Mac OS X v10.5.6
http://support.apple.com/kb/HT3338

Siete claves para salir airoso de la cena de fin de año del trabajo

A la hora de los agasajos, este fin de año muchas empresas dejarán de lado las grandes fiestas y en su lugar optarán por cenas o almuerzos más austeros.

Este tipo de reuniones son un buen momento para apagar la computadora, conocer mejor a los compañeros e incrementar la relación y el diálogo con el jefe en un clima distendido.

Actuar con naturalidad y ante todo ser uno mismo son las claves básicas para proyectar lo mejor de cada uno en tal destacado momento profesional, según Monster.es.

 

Asistir y participar
Estas comidas no son precisamente el mejor momento para tomarse la tarde libre o inventarse excusas. Como su propio nombre indica, son eventos de empresa y se espera que todos los empleados, salvo causas de fuerza mayor, acudan . La ausencia al evento se interpretará como una señal de falta de responsabilidad, dejadez o prepotencia . La participación también es importante porque es la oportunidad perfecta para afianzar una buena posición como miembro del equipo.

Beber con moderación
Es una cena y habrá alcohol. Sin embargo, pasarse con las copas no es nunca la mejor opción. Los empleados conocen esta regla de oro pero suelen ignorarla en el último momento. Se debe controlar siempre la cantidad porque el alcohol desinhibe y provoca que comportamientos poco adecuados para un evento laboral.

Vestir correctamente
La ropa es también importante. Aunque ha llegado quizás el momento de dejar la corbata y el traje pantalón en casa, tampoco es el día adecuado para ir con jeans rotos o un escote de vértigo. Jefes y directivos estarán presentes y una imagen correcta es siempre la mejor carta de presentación .

No aislarse
Las cenas de empresa son el momento perfecto para conocer gente nueva o, al menos, hablar con todos. No es recomendable cerrarse en banda y entablar conversación únicamente con los colegas que mejor nos caen. Los organizadores de estas comidas saben que esto suele pasar y por eso propician una colocación específica para que la gente no se siente al lado de los mismos de siempre. El objetivo es conocer a gente nueva y aprovechar la oportunidad de acercarse a gente importante con la que normalmente no entabla contacto.

Evitar los temas ‘conflictivos’
El alcohol, aunque sea en pocas dosis, y el exceso de confianza pueden provocar problemas con algunos temas por las opiniones encontradas que puedan surgir . Es mejor evitar las conversaciones sobre religión, política o dinero porque sólo crearán conflictos. Se debe tener en cuenta que a la estas comidas acuden muchas personas con personalidades y puntos de vista muy distintos así que antes de que estalle la guerra, lo mejor es ser diplomático. Tampoco será el mejor momento para los cotilleos.

No hablar más de la cuenta
Como ya se ha visto, el exceso de confianza puede crear problemas, así que lo mejor en estos eventos es no ser demasiado abierto ni hablar más de la cuenta. Hay que recordar que, salvo excepciones, nos encontramos con colegas, no entre amigos, así que hay que ser prudente con todo lo que se dice.

Ser agradecido
Siempre se debe dar las gracias a los organizadores de la cena. Y si hubiese ocasión, también es recomendable agradecer con amabilidad la velada a los directivos, aunque sin pasarse… una cosa ser agradecido y otra muy distintia el clásico pelota.

Boletines de seguridad de Microsoft en diciembre

este martes Microsoft ha publicado ocho boletines de seguridad (del MS08-070 y MS08-077) correspondientes a su ciclo habitual de actualizaciones, que corrigen un total de 27 vulnerabilidades. Según la propia clasificación de Microsoft seis de los boletines presentan un nivel de gravedad "crítico", mientras que los dos restantes son "importantes".

Los boletines críticos son:

* MS08-070: Corrige cinco vulnerabilidades en los archivos extendidos de tiempo de ejecución de Visual Basic 6.0 (controles ActiveX) que podrían permitir la ejecución remota de código si un usuario visita un sitio web especialmente maliciosamente diseñado.

* MS08-071: Este boletín de seguridad resuelve dos vulnerabilidades que podrían permitir la ejecución remota de código si un usuario abre una imagen WMF maliciosa. Afecta Windows 2000, XP, Vista y Windows Server 2003 y 2008.

* MS08-072: Actualización destinada a corregir ocho vulnerabilidades en Microsoft Office Word y Office Outlook que podrían permitir la ejecución remota de código si un usuario abre un archivo de Word o RTF (formato de texto enriquecido) especialmente diseñado.

* MS08-073: Actualización acumulativa para Microsoft Internet Explorer que además soluciona cuatro nuevas vulnerabilidades que podrían permitir la ejecución remota de código arbitrario. Afecta a Internet Explorer 5.01, 6 y 7.

* MS08-074: Actualización que resuelve tres vulnerabilidades Excel que podrían permitir la ejecución remota de código si un usuario abre un archivo de Excel maliciosamente manipulado.

* MS08-075: Actualización destinada a resolver dos vulnerabilidades en la Búsqueda de Windows, que podrían permitir la ejecución remota de código si un usuario abre y guarda un archivo malicioso de búsqueda en el Explorador de Windows o si accede a una URL especialmente manipulada.

Los dos boletines "importantes" son:

* MS08-076: Actualización para resolver una vulnerabilidad en Microsoft Office SharePoint Server que podría provocar la elevación de privilegios.

* MS08-077: El último boletín del año (si no hay publicaciones extraordinarias en lo que resta de mes) está destinado a evitar dos vulnerabilidades en diversos componentes de Windows Media.

Las actualizaciones publicadas pueden descargarse a través de Windows Update o consultando los boletines de Microsoft donde se incluyen las direcciones de descarga directa de cada parche. Dada la gravedad de las vulnerabilidades se recomienda la actualización de los sistemas con la mayor brevedad posible.

Más Información:

Resumen del boletín de seguridad de Microsoft de diciembre de 2008:
http://www.microsoft.com/spain/technet/security/bulletin/ms08-dec.mspx

Boletín de seguridad de Microsoft MS08-070
Vulnerabilidades en los archivos extendidos de tiempo de ejecución de Visual Basic 6.0 (controles ActiveX) podrían permitir la ejecución remota de código
http://www.microsoft.com/spain/technet/security/Bulletin/ms08-070.mspx

Boletín de seguridad de Microsoft MS08-071
Una vulnerabilidad en GDI podría permitir la ejecución remota de código
http://www.microsoft.com/spain/technet/security/Bulletin/ms08-071.mspx

Boletín de seguridad de Microsoft MS08-072
Las vulnerabilidades en los filtros de Microsoft Office podrían permitir la ejecución remota de código
http://www.microsoft.com/spain/technet/security/Bulletin/ms08-072.mspx

Boletín de seguridad de Microsoft MS08-073
Actualización de seguridad acumulativa para Internet Explorer
http://www.microsoft.com/spain/technet/security/Bulletin/ms08-073.mspx

Boletín de seguridad de Microsoft MS08-074
Vulnerabilidades en Microsoft Office Excel podrían permitir la ejecución remota de código
http://www.microsoft.com/spain/technet/security/Bulletin/ms08-074.mspx

Boletín de seguridad de Microsoft MS08-075
Vulnerabilidades en Búsqueda de Windows podrían permitir la ejecución remota de código
http://www.microsoft.com/spain/technet/security/Bulletin/ms08-075.mspx

Boletín de seguridad de Microsoft MS08-076
Vulnerabilidades en los componentes de Windows Media podrían permitir la ejecución remota de código
http://www.microsoft.com/spain/technet/security/Bulletin/ms08-076.mspx

Boletín de seguridad de Microsoft MS08-077
Una vulnerabilidad en Microsoft Office SharePoint Server podría provocar la elevación de privilegios
http://www.microsoft.com/spain/technet/security/Bulletin/ms08-077.mspx