Fiel a su cita mensual, Microsoft ha lanzado sus actualizaciones de seguridad para sus principales productos, como Windows, Office o el navegador Internet Explorer. El «Patch Day» que sucede cada segundo martes del mes se ha saldado con catorce boletines de seguridad diferentes, cuatro de ellos de naturaleza crítica, ocho de naturaleza importante y dos de naturaleza moderada. Entre los agujeros que se han corregido, sólo uno de ellos se había hecho público, por lo que se recomienda instalar cuanto antes las actualizaciones que lleguen a través de Windows Update. Te hacemos un resumen de las diferentes vulnerabilidades que se han solucionado.
El primer boletín de naturaleza crítica que se ha lanzado es el MS14-064. Este boletín se dirige de manera específica a dos agujeros que se encontraron en Microsoft Windows Object Linking and Embedding (OLE) de la compañía, un protocolo que sirve para poder realizar documentos compuestos entre dos o más usuarios. Un ataque exitoso permitiría al cibercriminal ejecutar código remoto en el equipo, instalar programas e incluso crear nuevas cuentas de usuario con los mismos permisos que la víctima. Para que el ataque tuviera éxito, la víctima debería visitar una página web modificada a través de Internet Explorer.
El segundo boletín crítico MS014-065 es una actualización acumulativa de seguridad para Internet Explorer que soluciona de una tacada 17 vulnerabilidades encontradas en el navegador (todas ellas siguen siendo privadas). El más peligroso de los fallos podría llevar a los cibercriminales a ejecutar código remoto en el ordenador si el usuario visita una página web maliciosa a través de IE. El penúltimo boletín de seguridad crítico MS14-066 se dirige curiosamente a un paquete de seguridad denominado Schannel que está pensado para crear comunicaciones encriptadas entre usuarios y autentificación seguras. Esta vulnerabilidad permitiría ejecutar código remoto si el atacante envía un archivo malicioso a un servidor Windows. El último de los boletines críticos MS14-067 se dirige a un agujero en Windows que facilita al cibercriminal ejecutar código remoto en el ordenador de la víctima. Como en otros casos, la víctima debería visitar una página web modificada para que este ataque tenga éxito.
Curiosamente, el boletín MS14-068 que estaba previsto que saliera este mismo martes se ha tenido que retrasar, lo mismo que ha ocurrido con el boletín MS14-075. Así que el primero de los boletines moderados que se han lanzado es el MS14-069. En este caso, se corrigen tres fallos de la plataforma de ofimática Office 2007. Para llevar a cabo este ataque, la víctima tiene que abrir un archivo que se ha modificado maliciosamente en un programa atacado por el cibercriminal. En caso de éxito, el cibercrminal pasaría a tener los mismos permisos de usuario que la víctima. El boletín MS14-070 de naturaleza importante es el único que se enfrenta a un agujero que se ha hecho público. Eso sí, para llevar a cabo este ataque el criminal primero tiene que entrar dentro del sistema con unas credenciales válidas. En caso de éxito, se podría aprovechar un proceso abierto para llevar a cabo otro tipo de funciones, como instalar un programa malicioso, borrar datos o crear nuevas cuentas de usuario.
El boletín MS14-071 de naturaleza importante soluciona un agujero en el servicio Microsoft Windows Audio. El cibercrminal puede elevar sus privilegios si la víctima está utilizando una aplicación que utiliza estos servicios. Eso sí, el cibercrminal debería realizar el ataque combinado junto a otro agujero que permita ejecutar código remoto para aprovechar este fallo. El siguiente boletín es el MS14-072, que afecta a la plataforma Microsoft .NET Framework. En este caso, el criminal podría elevar sus privilegios si envía información modificada a una workstation o un servidor que hayan sido afectados.
Entramos en los últimos cuatro boletines importantes. El MS14-073 resuelve una vulnerabilidad de Microsoft SharePoint. Esta plataforma está pensada para compartir información y sitios web entre diferentes usuarios. En caso de éxito se pueden elevar los privilegios del atacante, aunque para ello la víctima debería visitar una página web que haya sido modificada maliciosamente. El boletín MS14-074 soluciona un agujero que se encuentra en la plataforma Remote Desktop Protocol (RDP) y que permitiría al cibercrminal pasar por encima de la seguridad de la víctima. Eso sí, este protocolo no se encuentra activado en Windows de manera predeterminada, lo que reduce mucho el peligro.
El boletín MS14-076 resuelve un agujero en Microsoft Internet Information Services que podría permitir al atacante utilizar recursos web que se han restringido o bloqueado, como por ejemplo las páginas web prohibidas en la empresa. Finalmente, el último boletín de seguridad importante es el MS077. En este caso, se corrige una vulnerabilidad que requiere un ataque muy concreto. Y es que debería coincidir que la víctima deje el navegador abierto después de haberse desconectado de una aplicación y que el cibercriminal vuelva a abrir la aplicación de manera inmediata.
Por último, Microsoft ha lanzado también dos boletines de seguridad moderada. El primer boletín MS14-078 se dirige a aquellos sistemas operativos en los que se haya instalado el editor para teclado en japonés, con un ataque exitoso que permitiría al cibercriminal elevar sus privilegios. Finalmente, el boletín MS14-079 corrige un agujero en Windows relacionado con las fuentes TrueType que puede provocar una denegación del servicio. Para que se produzca este ataque, la víctima debería visitar una página web modificada maliciosamente. Estas actualizaciones llegan de manera predeterminada a través de Windows Update. Si este no es el caso, se pueden instalar de forma manual a través del apartado de Windows Update en el panel de control.
