Microsoft corrige 10 fallas con siete boletines
Los parches más críticos emitidos hoy cubren Bluetooth, Internet Explorer y DirectX.
Microsoft lanzó el martes su boletín de seguridad de junio de 2008, que incluye tres parches críticos, tres importantes y uno moderado.
Entre los críticos, uno es por el Bluetooth en Windows XP y Windows Vista, uno sobre DirectX, y otro es una actualización acumulativa para Internet Explorer. El único moderado corrige una falla en la herramienta de detección de diálogo de Windows 2000, XP y Windows Vista. Entre los boletines importantes, uno tiene que ver con Active Directory y otro con Pragmatic General Multicast (PGM). Todos los parches de seguridad de Microsoft para Windows y Office están disponibles desde Microsoft Update o desde los boletines que se detallan a continuación.
MS08-030: Crítico
Título: “Vulnerability in Bluetooth Stack Could Allow Remote Code Execution (951376)”. Es crítico para los usuarios de Windows XP y Windows Vista (para las ediciones de 32 bits y 64 bits). La actualización cubre vulnerabilidades detalladas en CVE-2008-1453. El parche modifica la manera en que el Bluetooth stack maneja un número alto de llamados de descripción de servicio. Microsoft dice que un atacante podría aprovecharse de esto para controlar un sistema afectado, instalar programas, ver, cambiar o borrar datos, o crear cuentas nuevas con permisos de administrador.
MS08-031: Crítico
Título: “Cumulative Security Update for Internet Explorer (950759)”. Este boletín afecta a todos los usuarios de Windows. Sin embargo, es crítico sólo para los usuarios de Windows XP y Windows Vista; para todos los demás, Microsoft califica la actualización como moderada o importante. La actualización corrige vulnerabilidades en CVE-2008-1442 y CVE-2008-1544. El parche soluciona un par de vulnerabilidades incluyendo una que podría permitir la ejecución remota de código si un usuario viera una página web especialmente diseñada usando Internet Explorer, y otra que podría permitir acceso a información privada si un usuario viera una página web especialmente diseñada usando Internet Explorer.
MS08-032: Moderado
Título: “Cumulative Security Update of ActiveX Kill Bits (950760)”. Este boletín afecta a los usuarios de Microsoft Windows 2000 Service Pack 4, todas las ediciones soportadas de Windows XP y todas las ediciones de Windows Vista, incluyendo Windows Vista Service Pack 1. La actualización cubre los inconvenientes de CVE-2007-0675. Soluciona una vulnerabilidad de conocimiento público para el API Microsoft Speech que podría permitir ejecución remota de código si un usuario viera una página web especialmente diseñada usando Internet Explorer y tuviera habilitada la aplicación de reconocimiento de voz de Windows.
MS08-033: Crítico
Título: “Vulnerabilities in DirectX Could Allow Remote Code Execution (951698)”. Este boletín afecta a todas las ediciones soportadas de Microsoft Windows 2000, Windows XP, Windows Server 2003, Windows Vista y Windows Server 2008. Esta actualización corrige las vulnerabilidades detalladas en CVE-2008-0011 y CVE-2008-1444. Microsoft dice que la vulnerabilidad “podría permitir la ejecución remota de código si un usuario abre un archivo multimedia especialmente modificado. Un atacante que explote con éxito cualquiera de estas vulnerabilidades podría tomar control total de un sistema afectado. Un atacante podría instalar programas, ver, cambiar o borrar datos, o crear cuentas nuevas con permisos de administrador.”
MS08-034: Importante
Título: “Vulnerability in WINS Could Allow Elevation of Privilege (948745)”. Este boletín afecta todas las ediciones soportadas de Microsoft Windows 2000 Server y Windows Server 2003. Esta actualización corrige las vulnerabilidades detalladas en CVE-2008-1451. Microsoft dice que un atacante podría usarla para controlar por completo un sistema afectado, y luego instalar programas, ver, cambiar o borrar datos, o crear cuentas nuevas.
MS08-035: Importante
Título: “Vulnerability in Active Directory Could Allow Denial of Service (953235)”. Este boletín es calificado como Importante para todas las ediciones soportadas de Microsoft Windows 2000 Server, y calificada como Moderada para ciertas ediciones de Windows XP Professional, Windows Server 2003 y Windows Server 2008. Esta actualización corrige la vulnerabilidad detalladas en CVE-2008-1445. Microsoft dice que la vulnerabilidad podría ser explotada para permitirle a un atacante concretar una condición de denegación de servicio.
MS08-036: Importante
Título: “Vulnerabilities in Pragmatic General Multicast (PGM) Could Allow Denial of Service (950762)”. Este boletín es calificado como Importante para todas las ediciones soportadas de Windows XP y Windows Server 2003 y calificado como Moderado para todas las ediciones soportadas de Windows Vista y Windows Server 2008. Esta actualización corrige la vulnerabilidad detallada en CVE-2008-1440 y CVE-2008-1441. Microsoft dice que “un atacante que explote con éxito esta vulnerabilidad podría causar que el sistema de un usuario deje de responder, obligando a reiniciar el equipo para restablecer la operatividad. Cabe aclarar que la vulnerabilidad de denegación de servicio no le permitiría a un atacante ejecutar código o elevar sus permisos de usuario, pero podría causar que el sistema afectado dejara de aceptar peticiones.”
Fuente: Microsoft.com
