0.0.0.0 889 909 Como ya pudimos escuchar en la edición 139 de El Gurdián (<A href="http://elguardian.euskadigital.net">http://elguardian.euskadigital.net</A>) para el mes de Octubre, Microsoft ha publicado seis parches para corregir diversas vulnerabilidades. Un día después de la difusión del boletín publicado por Microsoft, en el que arreglaba algunas vulnerabilidades (entre ellas una grave de Excel), se ha dado a conocer un nuevo error en Word, el procesador de textos de la compañía, cuyo parche no se espera hasta el próximo boletín, que se distribuirá, presumiblemente, el próximo 13 de noviembre. No hace todavía una semana de la publicación mensual, por parte de Microsoft, del <FONT color=#464646 size=2>que contiene los parches a través de Windows Update, y ya están saliendo a la luz nuevas vulnerabilidades sin resolver. Esta práctica es bastante habitual, ya que, debido a que Microsoft toma como referencia los segundos martes de cada mes para distribuir las soluciones a los problemas encontrados hasta entonces, muchos hackers aprovechan el día siguiente (segundo miércoles de cada mes), para difundir los nuevos problemas todavía no resueltos por la compañía, lo que provoca que estas vulnerabilidades puedan ser explotadas durante un mes completo antes de que Microsoft difunda las soluciones. Este es, por ejemplo, el caso de Word, el procesador de texto de la compañía. El pasado día 9 de octubre, fiel a su cita con los clientes, Microsoft publicó la solución a un problema crítico que se conocían y que atacaba a diversas versiones de Word, pero tan sólo un día después, Symantec ha dado a conocer un nuevo problema que afecta a todas las versiones del procesador de textos, excepto la última, Word 2007. Según los expertos de Symantec, esta nueva vulnerabilidad produce que la aplicación se cuelgue simplemente con abrir un documento, cuya composición, según detallan, incluye código Shell y tres módulos de malware. Después de realizar varias investigaciones, se ha concluido que este documento, que afecta millones de clientes en todo el mundo, no ha sido creado con una versión Windows de la aplicación, ya que no tiene una cabecera OLE. Esto indica que el documento malicioso habría sido creado con una versión de Word para equipos Macintosh. Por otra parte, el equipo de desarrollo de Excel ha informado, a través de su blog oficial (blogs.msdn.com/excel), de que ya está disponible el parche que solventa los problemas a la hora de realizar ciertos cálculos matemáticos que hasta ahora hacía erróneamente (si el resultado de una operación estaba entre 65534.99999999995 y 65535, o entre 65535.99999999995 y 65536, Excel mostraba erróneamente 100000 o 100001 respectivamente). En este caso, según informa David Gainer en el </FONT><A href="http://blogs.msdn.com/excel/archive/2007/10/09/calculation-issue-update-fix-available.aspx" target=1><FONT color=#464646 size=2>blog oficial</FONT></A><FONT color=#464646 size=2> del producto ya está disponible la solución para el problema, tanto de forma </FONT><A href="http://download.microsoft.com/download/6/1/3/61343075-aa12-4152-a761-fccc16d6cef4/office-kb943075-fullfile-x86-glb.exe"><FONT color=#464646 size=2>directa</FONT></A><FONT color=#464646 size=2>, como vía Microsoft Update. Asimismo, la solución será igualmente incluida en el primer Service Pack de Office 2007, cuya fecha de lanzamiento no está decidida.</FONT> Más información en PC World y en <A href="http://elguardian.euskadigital.net">http://elguardian.euskadigital.net</A> 5 2007-10-15T16:35:10Z 2007-10-15T16:35:10Z 44121 2009-04-06T23:57:25Z parches-microsoft-octubre 2007-10-15T16:35:10Z 1 1 2009-04-06T23:57:25Z 0.0.0.0 889 909 Como ya comentaremos en el PodCast de seguridad <a href="http://elguardian.euskadigital.net/" title="http://elguardian.euskadigital.net" id="link_0">El Guardián</a>, Microsoft ha anunciado cinco boletines de seguridad: uno para Windows, otro para Visual Studio, otro paraWindows Services para UNIX, otro para su MSN (Live) Messengery uno compartido entre Windows y SharePoint Server. <em>Si en agosto fueron nueve boletines de seguridad que salieron a la luz, este mes Microsoft prevé publicar cinco actualizaciones el día 11 de septiembre. Parece que el dedicado a Windows (y que en principio se anuncia sólo para Windows 2000) alcanza la categoría de crítico. El resto han sido calificados con categoría de "importante". Adicionalmente, y como viene siendo habitual, Microsoft publicará una actualización para Microsoft Windows Malicious Software Removal Tool. Además, se publicará una actualización de alta prioridad no relacionada con la seguridad. El fallo en el ActiveX de Office descubierto a mediados de junio, del que existe exploit público y no actualización oficial, no parece estar siendo explotado de forma masiva. No fue corregido en agosto y parece que tampoco será corregido en esta ocasión. Parece interesante la vulnerabilidad en Visual Studio, que quizás corresponda con el exploit hecho público hace unos días. Se trata de una posible ejecución de código a través de ficheros VBP (Visual Basic Project) especialmente manipulados. Igualmente parece que se va a corregir el grave fallo descubierto en Microsoft MSN Messenger y (como se llama ahora) Live Messegner. El fallo que se publicó 'por sorpresa' a finales de agosto se debe a un error en el manejo de conversaciones de vídeo. Si se envían datos especialmente manipulados, un atacante podrá provocar un desbordamiento de heap y ejecutar código arbitrario si la víctima acepta una invitación de cámara web. Este fallo es muy similar al que se detectó a mediados de agosto en Yahoo! Messenger, competencia directa de Microsoft en mensajería instantánea.</em> Publicado en: <a href="http://elguardian.euskadigital.net/" title="http://elguardian.euskadigital.net" id="link_1">http://elguardian.euskadigital.net</a> 0 2007-09-08T14:49:22Z 2007-09-08T14:49:22Z 29816 martes-11-septiembre-microsoft-publica-cinco-boletines 2007-09-08T14:49:22Z 1 1 2007-09-08T14:49:22Z 0.0.0.0 889 909 Muchos oyentes de <A id=link_1 title="Blog y PodCast de seguridad El Guardián" href="http://elguardian.euskadigital.net/"><A title="El Guardián" style="TEXT-DECORATION: none" href="http://elguardian.euskadigital.net/">El Guardián</A></A> preocupados por la seguridad de su sistema operativo están pendientes desde hace un tiempo de la fecha de publicación del primer Service Pack para Vista y el tercero para Windows XP. Ahora ya tienen la respuesta. Hablaremos de ello en la próxima edición (la 134) del PodCast sobre seguridad El Guardián (<A id=link_0 title="Blog y PodCast de seguridad El Guardián" href="http://elguardian.euskadigital.net/">http://elguardian.euskadigital.net</A>). <EM>Windows XP tendrá una nueva actualización en las semanas próximas, cuando Microsoft presente el tercer Service Pack para este sistema operativo. Windows XP SP3 será la última actualización para XP e incluirá actualizaciones previamente lanzadas así como un pequeño número de nuevos arreglos. Según Microsoft, no alterará seriamente la experiencia de XP.</EM> <EM>Para Windows Vista habrá que esperar un poco más. Ahora que Microsoft finalmente ha roto su silencio respecto a la fecha del lanzamiento del Service Pack 1 (SP1) para Windows Vista, sabemos gracias a Pc World que las últimas betas estarán disponibles a partir de septiembre para unos 10.000 a 15.000 probadores, mientras que la versión definitiva se liberará en el primer trimestre del año 2008.</EM> Más información en: <A id=link_0 title="Blog y PodCast de seguridad El Guardián" href="http://elguardian.euskadigital.net/">http://elguardian.euskadigital.net</A> 2 2007-08-31T15:13:19Z 2007-08-31T15:13:19Z 27266 2008-06-23T07:39:11Z actualizaciones-windows-vista-y-xp 2007-08-31T15:13:19Z 1 1 2008-06-23T07:39:15Z 0.0.0.0 889 909 Aunque los rumores iniciales sobre la salida del Service Pack 1 para Windows Vista lo situaban en el próximo año 2008, varios medios de comunicación comentan que previsiblemente será para mediados de este mes, seguramente la semana del 16, cuando salga la primera beta. <EM>Los rumores de este fin de semana situaban el primer Service Pack para Windows Vista allá por el año 2008. Hoy conocemos que previsiblemente será para mediados de este mes, seguramente la semana del 16, cuando salga la primera beta del SP1. El SP1 para Windows Vista tendrá una versión final no demasiado tarde, seguramente para el mes de noviembre de este mismo año, nada de 2008. Sea como fuere, lo cierto es que el SP1 para Windows Vista cada día se hace más necesario, y esperemos que Microsoft consiga con él el grado de estabilidad que ya consiguiera con el SP2 para su anterior sistema operativo Windows XP. Fuente: <A id=link_0 title=http://elguardian.euskadigital.net href="http://elguardian.euskadigital.net/">http://elguardian.euskadigital.net</A></EM> 0 2007-07-09T09:57:36Z 2007-07-09T09:57:36Z 11590 windows-vista-ofrecera-sp1-beta-la-mitad-julio 2007-07-09T09:57:36Z 1 1 2007-07-09T09:57:36Z 0.0.0.0 889 909 Tal como mencionamos en la edición 127 del <A id=link_1 title=http://elguardian.euskadigital.net/ href="http://elguardian.euskadigital.net/">PodCast de seguridad El Guarián</A>, Microsoft, en su habitual ciclo de actuaciones mensuales del segundo martes de cada mes, nos informa de seis nuevas vulnerabilidades (cuatro de ellas críticas) aplicables a productos como Internet Explorer, Office y Windows Vista. La información ampliada la podéis encontrar en <A href="http://www.idg.es/">www.idg.es</A> publicada por <EM>Daniel Comino: </EM> <EM>En cuanto a nivel de severidad, cuatro de los parches que Microsoft publica, solventarán cuatro vulnerabilidades críticas (a través de las que un hacker podría realizar una ejecución remota de código), una de impacto importante y otra de riesgo moderado. Esta nueva publicación de parches afecta a varios tipos de productos de Microsoft, como son Internet Explorer, el componente Windows Mail de Windows Vista (tanto en su versión de 32 como en la de 64 bits), o Visio (herramienta de Office para la creación de diagramas). No obstante, aunque hay casos en los que los parches que Microsoft libera pueden resolver varias vulnerabilidades al mismo tiempo, por el momento, no se sabe el alcance real que tendrá esta nueva distribución de soluciones ya que, actualmente, hay seis agujeros conocidos únicamente en Internet Explorer, por lo que habrá que esperar para comprobar si efectivamente estos fallos conocidos quedan solventados. Con el fin de detectar y solventar con la mayor prontitud los problemas que puedan acaecer dentro de una red, es altamente recomendable la utilización de escáneres de vulnerabilidades y malas prácticas, como pueda ser Microsoft Baseline Security Analyzer. Igualmente, antes de desplegar las nuevas soluciones, es recomendable analizar y testear cada tipo de equipo en un entorno de pruebas antes de realizar su instalación en producción.</EM> Y más información en: <A href="http://www.hispasec.com/">www.hispasec.com</A> 0 2007-06-08T15:04:12Z 2007-06-08T15:05:20Z 2270 seis-parches-microsoft-12-junio 2007-06-08T15:05:20Z 1 1 2007-06-08T15:05:20Z