Microsoft emitió ayer parches críticos para IE, Exchange y SQL Server

Microsoft cubrió ayer con su boletín mensual de seguridad ocho vulnerabilidades en su software, tres de ellas clasificadas como "críticas" por la compañía y el resto como "importantes". Los productos afectados por las brechas críticas resueltas en esta actualización son Internet Explorer (IE), Exchange y SQL Server.

El fallo más serio probablemente sea una brecha en Exchange que los atacantes pueden aprovechar simplemente mediante el envío de un mensaje específicamente diseñado para lograr sus objetivos a los servidores de correo de las empresas.

Diversos expertos en seguridad han señalado este parche (MS09-003) como el más importante de la actualización de ayer. Según Microsoft, puede la vulnerabilidad de Exchange puede ser explotada cuando un usuario “abre o simplemente previsualiza un mensaje de correo maleado enviado en formato TNEF, e incluso cuando Microsoft Exchange Server Information Store lo procesa”.

TNEF (Transport Neutral Encapsulation Format), es un formato propietario de archivos adjuntos para e-mail utilizado por el popular cliente de correo Outlook, así como por Exchange.

El segundo parche crítico, MS09-002, cubre dos vulnerabilidades en IE7, una de ellas relacionada con la funcionalidad Cascading Style Sheets (CCS) del navegador y la otra con un fallo de corrupción de memoria generado como probablemente a raíz de la re-escritura por parte de Microsoft de algunas secciones de la versión anterior, IE6, según Wolfgang Kandek, CTO de la firma de seguridad Qualys, y Andrew Storms, director de operaciones de seguridad de nCircle Network Security.

Finalmente, la tercera actualización crítica resuelve un problema en SQL reconocido por Microsoft en diciembre del año pasado. La compañía lleva trabajando desde abril en este parche.

Whitepaper emc-cio-it-as-a-service-wp Whitepapers