(Por El Microsaurio) Cumplieron con lo anunciado, publicaron 16 boletines de seguridad, los leímos todos, los explicamos acá, te damos un detalle de sistemas operativos, aplicaciones y vulnerabilidades, y detallamos el orden de instalación, si tenés que trabajar con servidores. Vení que te contamos, traé el mate…

Los boletines han sido marcados desde el MS11-037 al MS11-052, y están publicados acá; afectan a todos los sistemas operativos de la empresa actualmente soportados, desde XP hasta Windows 7, y a todos los Servers, hasta el 2008 R2; nueve de ellos fueron calificados como Críticos (para que quede claro, “gravísimos”), y siete son Importantes.
Más interesante es el desglose de aplicaciones o componentes a los que se les descubrieron las (declaradas) 34 fallas de seguridad, así que los vamos a analizar en detalle.

  • Internet Explorer: estaban afectadas por diferentes vulnerabilidades todas las versiones, hasta el ya no tan flamante Internet Explorer 9.
  • Microsoft .NET Framework 2.0, 3.5 y 4.0
  • Varias versiones de Excel: en Office XP, Excel 2002; también Excel 2003, 2007 y 2010
  • Los visores de archivos Excel, y el Microsoft Office Compatibility Pack para formatos de archivo Word, Excel y PowerPoint 2007
  • Por culpa de Excel, quedaron afectados también Office 2004, 2008 y 2011 para Mac
  • También el Conversor de formatos de archivo Open XML para Mac
  • Ojo los que están implementando el Microsoft InfoPath versiones 2007 o 2010, porque también tenían fallas y hay que actualizarlos.
  • Para los sufridos administradores de bases de datos, llueven parches sobre SQL Server 2005 Service Pack 3, SQL Server 2008 y 2008 R2, y el SQL Server Management Studio Express (SSMSE) 2005.
  • Como muchos habrán instalado Silverlight, ahí va: actualizar Silverlight 4, en sus versiones cliente y servidor para Windows, y (¡alegría, amigos maqueros!) “Microsoft Silverlight 4 cuando haya sido instalado en una Mac”. Les juro que lo copié textual. ¿Alguien instaló Silverlight en una Mac o este es un boletín para el 28 de diciembre??

Microsoft también se acordó de los fieles desarrolladores que incansablemente martillan teclados diariamente con Visual Basic, así que… hay fallas de seguridad solucionadas en Visual Studio 2005 , 2008 y 2010. Y para regocijo de quienes instalaron el cliente (en versión 2010) del Forefront Threat Management Gateway, antes llamado Forefront Firewall Gateway … también tenía fallas y hay que actualizarlo.
Ahora, algunos detalles sobre los vectores de ataque, y para esta tarea usamos información posteada por Jonathan Ness, del departamento de ingeniería del Microsoft Security Response Center:

  • Imágenes WMF (Windows Metafile) que pueden ponerse en un website o en un adjunto de email (Boletín 038).
  • Un archivo de tipografía Open Type especialmente modificado (Boletín 041)
  • Una página web que contenga código de Vector Markup Languaje, si se la visita con Microsoft Internet Explorer
  • Para los administradores, si no emparchan estarán exponiendo sus equipos a posibles ataques a través de conexiones SMB o intrusos que se metan en sus máquinas virtuales a través de fallas en Hyper-V (Boletines 047 y048)
  • Para los desarrolladores, si abren un archivo “*.disco” que algún desgraciado les hizo llegar, y lo hacen con alguna versión no actualizada de Visual Studio, sufrirán la pérdida de información guardada en su compu, que podrá ser extraída por el atacante. Por ejemplo, justo ese desarrollo del cliente más importante…

El orden de instalación, en el caso de los administradores que lo hacen “a mano” es: primero el 050, que es el “acumulativo para Internet Explorer”; detrás el 052 y luego los boletines 043 y 042.
Para los usuarios finales, dejen que la compu se haga cargo. Por favor, cierren primero todos-todos los programas que estén usando, ya que habrá que reiniciar la máquina. Y que les sea leve.

Por Ricardog

Periodista científico especializado en tecnología. Médico en retiro efectivo.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.