Si en enero se publicó un sólo boletín de seguridad, este mes Microsoft publica un total de cuatro actualizaciones. Dos de ellas, las dedicadas a la versión 7 de Internet Explorer y al servidor Exchange, alcanzan la categoría de críticas, mientras que las otras dos, referentes al servidor de SQL y al software gráfico Visio de Office, están catalogadas como importantes.Adicionalmente, y como viene siendo habitual, Microsoft publica una actualización para Microsoft Windows Malicious Software Removal Tool. Además, se han publicado actualizaciones de alta prioridad no relacionadas con la seguridad.
Dada la coincidencia de versiones afectadas, se especula con que el boletín dedicado a SQL Server se encarga de solventar una vulnerabilidad reconocida por Microsoft el pasado 22 de diciembre, y de la que se han detectado exploits circulando por la red.
Según se puede apreciar en la descripción de la vulnerabilidad publicada por Bernhard Mueller (SEC Consult) el pasado 12 de diciembre, el fallo estaría causado por un error al comprobar los parámetros en el procedimiento "sp_replwritetovarbin" y podría ser aprovechado para la ejecución remota de código.
Un portavoz de Microsoft ha confirmado que la compañía estaba al tanto de la vulnerabilidad desde el pasado mes de abril y el propio Mueller afirma haber recibido una notificación de Microsoft en septiembre informándole de que el parche estaba listo.
Como es habitual, cada boletín podrá contener un número indeterminado de correcciones de seguridad y hay que señalar que, en cualquier caso, el adelanto que ofrece Microsoft está sujeto a cambios de última hora.
No hay comentarios.:
Publicar un comentario