Nuevos parches críticos para Windows, Exchange y Outlook
Microsoft ha lanzado parches para dos fallos de seguridad críticos en sus productos software. Los parches, parte de las actualizaciones de seguridad publicadas mensualmente por el fabricante, cubren una vulnerabilidad existente en el sistema operativo Windows y otra que afecta a las aplicaciones de mensajería Exchange y Outlook.
Aprovechando cualquiera de estas vulnerabilidades, los atacantes informáticos podrían tomar el control de los equipos no parcheados, por lo que han sido valorados como “críticos” por el fabricante.
El agujero del sistema operativo Windows está relacionado con la manera en que el sistema operativo procesa fuentes Web embebidas, las cuales son utilizadas por los autores de páginas Web para asegurarse de que sus páginas se despliegan exactamente de la manera deseada.
Atrapando al visitante de una página con una fuent Web embebida formateada de determinada manera, el atacante, podría, teóricamente, hacerse completamente con el control del sistema afectado, según advierte la propia Microsoft en su sitio Web: www.microsoft.com/technet/security/Bulletin/MS06-002.mspx
El segundo fallo de seguridad proviene del formato de codificación TNEF (Transport Neutral Encapsulation Format) utilizado por Outlook y Exchange. Un atacante podría enviar mensajes de correo electrónico manipulados de manera que cualquier servidor Exchange o cliente Outlook no protegido por el parche correspondiente fuera utilizado como medio de ganar el control de los sistemas que corrieran el software de mensajería. La amplia implantación de Outlook y Exchange en los entornos corporativos, unida al hecho de que el ataque es susceptible de afectar tanto al software servidor como al cliente, agrava las potenciales consecuencias de este problema. Más información sobre este fallo en www.microsoft.com/technet/security/Bulletin/MS06-003.mspx
Dado que, de momento, ningún hacker ha publicado código que muestre cómo explotar estas vulnerabilidades, no han sido consideradas tan peligrosas como la relacionada con Windows WMF parcheada por Microsoft la semana pasada. Sin embargo, se trata de fallos críticos, y los expertos en seguridad sugieren que será tan sólo una cuestión de tiempo el que comiencen a ser explotados.
El agujero del sistema operativo Windows está relacionado con la manera en que el sistema operativo procesa fuentes Web embebidas, las cuales son utilizadas por los autores de páginas Web para asegurarse de que sus páginas se despliegan exactamente de la manera deseada.
Atrapando al visitante de una página con una fuent Web embebida formateada de determinada manera, el atacante, podría, teóricamente, hacerse completamente con el control del sistema afectado, según advierte la propia Microsoft en su sitio Web: www.microsoft.com/technet/security/Bulletin/MS06-002.mspx
El segundo fallo de seguridad proviene del formato de codificación TNEF (Transport Neutral Encapsulation Format) utilizado por Outlook y Exchange. Un atacante podría enviar mensajes de correo electrónico manipulados de manera que cualquier servidor Exchange o cliente Outlook no protegido por el parche correspondiente fuera utilizado como medio de ganar el control de los sistemas que corrieran el software de mensajería. La amplia implantación de Outlook y Exchange en los entornos corporativos, unida al hecho de que el ataque es susceptible de afectar tanto al software servidor como al cliente, agrava las potenciales consecuencias de este problema. Más información sobre este fallo en www.microsoft.com/technet/security/Bulletin/MS06-003.mspx
Dado que, de momento, ningún hacker ha publicado código que muestre cómo explotar estas vulnerabilidades, no han sido consideradas tan peligrosas como la relacionada con Windows WMF parcheada por Microsoft la semana pasada. Sin embargo, se trata de fallos críticos, y los expertos en seguridad sugieren que será tan sólo una cuestión de tiempo el que comiencen a ser explotados.
