Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
10/01/2013
Experts de seguretat confirmen la urgència del pegat per Windows XML
De les set actualitzacions de seguretat llançades dimarts per Microsoft, la més urgent era un pegat per a un error localitzat en XML, un forat que els experts qualifiquen com a crític, ja que afecta qualsevol versió de Windows.
Microsoft ha començat l’any amb set nous butlletins de seguretat, cinc dels quals han sigut qualificats com a importants, mentre que dos són considerats crítics. Un en especial ha centrat l’interés dels experts en seguretat, el concernent a un forat detectat en XML, un forat crític que, com explica Andrew Storms, director d’operacions de seguretat de nCircle, afecta totes les versions de Windows d’una manera o una altra, ja que XML és utilitzat per una àmplia gamma de components del sistema operatiu.
Segons els experts, l’error MS13-002 detectat en Windows XML serà un objectiu popular per als ciberdelinqüents i ha de ser la màxima prioritat. Per descomptat, esta no és l’única actualització de seguretat crítica d’este mes, l’altra és MS13-001, relativa a un error en el servici de cua d’impressió en Windows 7 i Windows Server 2008. Segons Ross Barrett, director sénior d’enginyeria de seguretat per a Rapid7, “es tracta d’un defecte interessant, ja que un ciberdelinqüent podria incloure en la cua treballs d’impressió maliciosos per a atacar els clients que s’hi connecten”.
Una altra àrea de preocupació per als experts és l’existència d’una vulnerabilitat de dia zero que s’està explotant en Internet Explorer 6, 7 i 8, i que no s’aborda en els pegats anunciats dimarts. Microsoft ha proporcionat una ferramenta Fix-It que protegix contra els atacs coneguts, així com el mòdul d’exploits Metasploit. No obstant això, Exodus Intelligence ha descobert que hi ha altres maneres d’explotar la vulnerabilitat que no s’aborden amb la ferramenta Fix-It. Storms espera que Microsoft llançarà un pegat dins de les pròximes dos setmanes per a resoldre la vulnerabilitat de dia zero d’IE.