Microsoft ha publicado ayer el último conjunto de boletines de seguridad previstos para el año 2010. Se han publicado un total de 17 boletines de seguridad que corrigen vulnerabilidades en productos de Microsoft como el sistema operativo Windows, Microsoft Office o Internet Explorer.
Cuando observamos la clasificación de severidad de esas vulnerabilidades notamos que dos de los boletines tienen una clasificación de severidad máxima de crítica mientras que los restantes tienen una clasificación de importante con la excepción de uno que ha sido calificado como moderado.
La máxima severidad significa que al menos un producto de Microsoft es afectado de esta manera por la vulnerabilidad. La vulnerabilidad crítica MS10-090 afecta a Internet Explorer 6 a Internet Explorer 8 y es crítica en todos los sistemas operativos de Microsoft. Por otro lado, la vulnerabilidad MS10-091 es crítica en Windows Vista y Windows 7, pero no en Windows XP, algo que no vemos muy a menudo gracias a la seguridad mejorada de los dos sistemas operativos.
Las actualizaciones ya están disponibles a través de Windows Update y el Centro de descarga de Microsoft.
- MS10-090 – Actualización de seguridad acumulativa para Internet Explorer (2416400) – Esta actualización de seguridad resuelve cuatro vulnerabilidades informadas privadamente y tres vulnerabilidades publicadas en Internet Explorer. Las vulnerabilidades más severas podrían permitir la ejecución remota de código si un usuario ve una página Web especialmente diseñada usando Internet Explorer. Los usuarios cuyas cuentas están configuradas para tener menos derechos de usuario en el sistema podrían verse menos afectados que los usuarios que operan con derechos de usuario administrativos.
- MS10-091 – Las vulnerabilidades del controlador OpenType Font (OTF) podrían permitir la ejecución remota de código (2296199) – Esta actualización de seguridad resuelve varias vulnerabilidades informadas de forma privada en el controlador Open Type Font (OTF) de Windows que podrían permitir la ejecución remota de código. Un atacante podría alojar una fuente OpenType especialmente diseñada en una red compartida. La ruta de control afectada se activa cuando el usuario navega hacia el recurso compartido en el Explorador de Windows, lo que permite que la fuente especialmente diseñada tome el control total de un sistema afectado. Un atacante podría entonces instalar programas, ver, cambiar o eliminar datos, o crear nuevas cuentas con todos los derechos de usuario.
- MS10-092 – La vulnerabilidad en el Programador de tareas podría permitir la elevación del privilegio (2305420) – Esta actualización de seguridad resuelve una vulnerabilidad revelada públicamente en el Programador de tareas de Windows. La vulnerabilidad podría permitir la elevación del privilegio si un atacante se conectaba a un sistema afectado y ejecutaba una aplicación especialmente diseñada. Un atacante debe tener credenciales de inicio de sesión válidas y poder iniciar sesión localmente para aprovechar esta vulnerabilidad. La vulnerabilidad no podía ser explotada remotamente o por usuarios anónimos.
- MS10-093 – La vulnerabilidad en Windows Movie Maker podría permitir la ejecución remota de código (2424434) – Esta actualización de seguridad resuelve una vulnerabilidad de divulgación pública en Windows Movie Maker. La vulnerabilidad podría permitir la ejecución remota de código si un atacante convence a un usuario para que abra un archivo legítimo de Windows Movie Maker que se encuentra en el mismo directorio de red que un archivo de biblioteca especialmente diseñado. Para que un ataque tenga éxito, un usuario debe visitar un sitio web de….