Este martes se ha publicado las actualizaciones de seguridad mensuales de los principales productos de Microsoft. Durante este mes se han corregido 27 fallos de seguridad diferentes en Windows, el navegador Internet Explorer y la suite de ofimática Office por medio de ocho boletines de seguridad diferentes. Entre estos, cuatro han recibido la etiqueta de ser actualizaciones críticas, mientras que los cuatro restantes tienen naturaleza importante. Estas actualizaciones deberían llegar a lo largo de hoy a todos los usuarios que utilicen Windows. Te contamos todos los detalles sobre los boletines de seguridad que se han puesto en marcha y sobre los agujeros que solucionan.
El primero de los boletines de naturaleza crítica es el MS13-080. Como viene siendo habitual en los últimos meses, se trata de una actualización de seguridad acumulativa que corrige hasta diez vulnerabilidades diferentes encontradas en Internet Explorer. Lo peligroso de este caso es que uno de los agujeros ya se ha hecho público, lo que multiplica el peligro de que se generen ataques. Las vulnerabilidades más peligrosas permitirían al cibercriminal tomar el control del equipo de forma remota si la víctima visita una página especialmente diseñada para este fin. Estos agujeros afectan a todas las versiones de Internet Explorer. El segundo de los boletines es el MS13-081 afecta al sistema operativo Windows en todas sus versiones (menos la actualización Windows 8.1 que llegará al mercado de manera oficial en unos días) y corrige siete fallos de seguridad. El más peligroso provocaría que el cibercriminal tomara el control absoluto del sistema si visualiza archivos de fuentes OpenType o TrueType font.
El tercer boletín es el MS13-082, también de naturaleza crítica. En este caso se corrigen tres agujeros (uno de ellos ya ha sido hecho público) que afectan a la arquitectura Microsoft .NET Framework dentro de Windows. Ésta es necesaria sobre todo para correr diversas aplicaciones y juegos. El agujero más peligroso permitiría tomar el control del equipo si se abre un sitio malicioso dentro del navegador. El último de los boletines con naturaleza crítica es el MS13-083, que pone fin a un agujero encontrado en los sistemas Windows de 64 bits. En este caso, el usuario afectado debería abrir una página en la que se corra una aplicación web vulnerable, y el atacante podría llegar a ejecutar código de manera remota.
Entrando en los boletines de naturaleza importante, el MS13-084 resuelve dos vulnerabilidades en el servidor de Microsoft SharePoint dentro de la plataforma Office. Para tener éxito, el atacante debería lograr que el usuario abra un documento de Office dentro de un servidor afectado (también puede ser a través de las Office Web Apps) y podría llegar a controlar el equipo. El sexto boletín de seguridad es el MS13-085. que también afecta a Office a partir de la versión de Office 2007. De nuevo, el ataque tendría éxito en caso de que el usuario abra un archivo alterado de Excel o de otros programas dentro del programa afectado. El último boletín relativo a Office es el MS13-086, que afecta al procesador de textos Word tanto en su versión de Office 2003 como en su versión de 2007. Con un ataque exitoso se puede llegar a tomar el control del equipo con los mismos privilegios de usuario que la víctima. Por último, el boletín MS13-087 se centra en una vulnerabilidad encontrada en la plataforma Silverlight, pensada para crear aplicaciones web y para móvil. El peligro, en este caso, consiste en que el atacante convenza al usuario de que visite un sitio web malicioso y le permite al atacante robar información privada. Estas actualizaciones deberían llegar durante el día de hoy a todos los usuarios de Windows. En caso negativo, se puede acceder a las actualizaciones a través de la plataforma Windows Update en el panel de control.