Blogia
navegaseguro

Parches de enero de Microsoft

Microsoft ha publicado puntualmente los parches de enero, tras su falta a la cita de diciembre. Son tres los parches publicados, sólo uno de interés para los usuarios comunes.

Ninguno de ellos cubre las recientes vulnerabilidades de Internet Explorer, ni ninguna de las que se arrastran de meses anteriores, pese a que están siendo explotadas (lo que es lógico, ya que se está dando muchísimo tiempo para hacerlo) y generando cierta alarma. Habrá que esperar a ver si este mes se lanza algún parche de forma especial o hay que esperar otro mes entero. Mi recomendación sigue siendo cambiar de navegador para evitarse sustos.

Al menos una empresa antivirus ha incluido los caracteres especiales que hay que añadir a un enlace para aprovechar la vulnerabilidad que permite cambiar la dirección de la página que estamos viendo (la que se usaba en el caso del intento de estafa a los clientes del Banco Popular) a sus ficheros de firmas. Esto significa que un correo electrónico que contenga un enlace construido para aprovechar esta vulnerabilidad hará saltar este antivirus (siempre que este actualizado y correctamente configurado, claro).

El parche que me interesa destacar es el que afecta a MDAC, un conjunto de componentes para proveer al sistema operativo de interoperatividad con distintas bases de datos. Una aplicación que el usuario de un PC doméstico difícilmente echaría de menos si no estuviese (aunque no dudo de su utilidad en entornos de oficina y pequeñas redes) pero que se instala por defecto en Windows 2000 y Windows XP. Algunos programas, especialmente pequeñas aplicaciones (o extensiones de otros programas) desarrolladas en Visual Basic (otro producto Microsoft) pueden requerir su instalación para funcionar (o el mismo instalador podría contener MDAC e instalarlo), así que todos los usuarios de un sistema operativo Windows, no importa su versión, deberían visitar Windows Update para comprobar si necesitan el parche.

La vulnerabilidad que corrige es un desbordamiento de buffer bastante complicado de explotar (incluso sería necesaria cierta colaboración por parte del usuario), pero no está de más actualizar y aplicar el parche porque, aunque ahora no pueda hacerse nada peligroso con él en la práctica, siempre se corre el riesgo de que aparezca otra vulnerabilidad que permita aprovechar ésta de forma sencilla conjugando ambas. En Internet Explorer, que siempre tiene varias vulnerabilidades sin corregir, han sido varias las ocasiones en las que, partiendo de varias vulnerabilidades sin riesgo inmediato se ha hallado un método para combinarlas de un modo realmente sencillo y peligroso para el usuario final.

Por terminar con una buena noticia, Microsoft también ha anunciado que ampliará el soporte para Windows 98 (que hubiera perdido el soporte este mismo mes) y para Windows ME (que hubiese terminado a final de año) durante, al menos, otros dos años, por lo que seguirá publicando, siempre que lo crea necesario, parches de seguridad para estos dos sistemas operativos durante ese período.

0 comentarios