La empresa Microsoft ha publicado 11 boletines de seguridad correspondientes al mes de febrero, seis de ellos calificados como “crítico” y los cinco restantes como “importante”.

Resumen
A continuación se presenta un resumen de los boletines publicados:

MS08-007: CRÍTICA Una vulnerabilidad en el mini-redirector de WebDAV podría permitir la ejecución de código arbitrario en forma remota.

MS08-008: CRÍTICA Una vulnerabilidad en la automatización OLE podría permitir la ejecución de código arbitrario en forma remota.

MS08-009: CRÍTICA Una vulnerabilidad en Microsoft Word podría ser explotada por un atacante para ejecutar código arbitrario de forma remota.

MS08-010: CRÍTICA Actualización de seguridad acumulativa para Internet Explorer.

MS08-012: CRÍTICA Una vulnerabilidad en Microsoft Office Publisher podría ser explotada por un atacante para ejecutar código arbitrario de forma remota.

MS08-013: CRÍTICA Una vulnerabilidad en Microsoft Office podría ser explotada por un atacante para ejecutar código arbitrario de forma remota.

MS08-003: IMPORTANTE Una vulnerabilidad en Active Directory podría permitir una Denegación de Servicio.

MS08-004: IMPORTANTE Una vulnerabilidad en la implementación del protocolo TCP/IP podría permitir una Denegación de Servicio.

MS08-005: IMPORTANTE Una vulnerabilidad en el Internet Information Server (IIS) podría permitir la elevación de privilegios.

MS08-006: IMPORTANTE Una vulnerabilidad en el Internet Information Server (IIS) podría permitir la ejecución de código arbitrario en forma remota.

MS08-011: IMPORTANTE Una vulnerabilidad en el conversor de archivos de Microsoft Works podría permitir la ejecución de código arbitrario en forma remota.

Versiones Afectadas

Para cada uno de los boletines mencionados, se ven afectados los siguientes productos:

MS08-007:
Microsoft Windows XP Service Pack 2
Microsoft Windows XP Edición x64 Profesional y Windows XP Edición x64 Profesional Service Pack 2
Microsoft Windows Server 2003 SP1 y SP2
Microsoft Windows Server 2003, SP1 y SP2 para sistemas Itanium
Microsoft Windows Server 2003 y SP2 Edición x64
Microsoft Windows Vista
Microsoft Windows Vista Edición X64

MS08-008:
Microsoft Windows 2000 Service Pack 4
Microsoft Windows XP Service Pack 2
Microsoft Windows XP Edición x64 Profesional y Windows XP Edición x64 Profesional Service Pack 2
Microsoft Windows Server 2003 SP1 y SP2
Microsoft Windows Server 2003, SP1 y SP2 para sistemas Itanium
Microsoft Windows Server 2003 y SP2 Edición x64
Microsoft Windows Vista
Microsoft Windows Vista Edición X64
Microsoft Office 2004 para Mac
Microsoft Visual Basic 6.0 SP6

MS08-009:
Microsoft Office 2000 Service Pack 3
Microsoft Office XP Service Pack 3
Microsoft Office 2003 Service Pack 2
Microsoft Office Word Viewer 2003

MS08-0010:
Internet Explorer 5.01 Service Pack 4
Internet Explorer 6 e Internet Explorer 6 Service Pack 1
Internet Explorer 7

MS08-0012:
Microsoft Office 2000 Service Pack 3
Microsoft Office XP Service Pack 3
Microsoft Office 2003 Service Pack 2

MS08-0013:
Microsoft Office 2000 Service Pack 3
Microsoft Office XP Service Pack 3
Microsoft Office 2003 Service Pack 2
Microsoft Office 2004 para Mac

MS08-003:
Microsoft Windows 2000 Service Pack 4
Microsoft Windows XP Service Pack 2
Microsoft Windows XP Edición x64 Profesional y Windows XP Edición x64 Profesional Service Pack 2
Microsoft Windows Server 2003 SP1 y SP2
Microsoft Windows Server 2003, SP1 y SP2 para sistemas Itanium
Microsoft Windows Server 2003 y SP2 Edición x64

MS08-004:
Microsoft Windows Vista
Microsoft Windows Vista Edición X64

MS08-005:
Microsoft Windows 2000 Service Pack 4
Microsoft Windows XP Service Pack 2
Microsoft Windows XP Edición x64 Profesional y Windows XP Edición x64 Profesional Service Pack 2
Microsoft Windows Server 2003 SP1 y SP2
Microsoft Windows Server 2003, SP1 y SP2 para sistemas Itanium
Microsoft Windows Server 2003 y SP2 Edición x64
Microsoft Windows Vista
Microsoft Windows Vista Edición X64

MS08-006:
Microsoft Windows XP Service Pack 2
Microsoft Windows XP Edición x64 Profesional y Windows XP Edición x64 Profesional Service Pack 2
Microsoft Windows Server 2003 SP1 y SP2
Microsoft Windows Server 2003, SP1 y SP2 para sistemas Itanium
Microsoft Windows Server 2003 y SP2 Edición x64

MS08-011:
Microsoft Office 2003 Service Pack 2
Microsoft Office 2003 Service Pack 3
Microsoft Works 8.0
Microsoft Works Suite 2005

Detalle
MS08-007: Una vulnerabilidad en la forma en la cual el mini-redirector de WebDAV maneja respuestas podría ser explotada por un atacante para ejecutar código arbitrario y tomar control completo del equipo afectado.

MS08-008: Una vulnerabilidad en la automatización OLE podría permitir a un atacante remoto ejecutar código arbitrario con los privilegios del usuario que se encuentre logueado, si este accede con Internet Explorer a una página web especialmente modificada.

MS08-009: Una vulnerabilidad no especificada en Microsoft Word, podría permitir a un atacante remoto ejecutar código arbitrario con los permisos del usuario que se encuentre usando el equipo, si dicho usuario abre un archivo Word especialmente creado con cadenas malformadas.

MS08-010: Múltiples vulnerabilidades en Internet Explorer, que permiten la ejecución de código arbitrario al visitar un sitio web malicioso, se resuelven gracias a esta actualización acumulativa de seguridad.

MS08-012: Una vulnerabilidad no especificada en Microsoft Publisher, podría permitir a un atacante remoto ejecutar código arbitrario con los permisos del usuario que se encuentre usando el equipo, si dicho usuario abre un archivo .pub especialmente creado con cadenas malformadas.

MS08-013: Una vulnerabilidad en Microsoft Office, podría permitir a un atacante remoto ejecutar código arbitrario con los permisos del usuario que se encuentre usando el equipo, si dicho usuario abre un archivo Microsoft Office especialmente creado mediante la inserción de objetos malformados.

MS08-003: Una vulnerabilidad en la implementación de Active Directory, debido a fallas en el procesamiento de solicitudes LDAP, podría permitir una denegación de servicio.

MS08-004: Una vulnerabilidad en la forma en la que Windows Vista procesa respuestas de un servidor DHCP malicioso podría permitir una denegación de servicio.

MS08-005: Una vulnerabilidad en la forma en la que IIS maneja las notificaciones de cambios en las carpetas FTPRoot, NNTPRoot, NNTPFile\Root y WWWRoot, podría permitir la elevación de privilegios en forma local.

MS08-006: Una vulnerabilidad en la forma en la que IIS maneja los datos de entrada enviados a páginas ASP, podría permitir la ejecución de código arbitrario con los privilegios del Worker Process Identity (WPI), que por defecto está configurado con privilegios de Servicio de Red.

MS08-011: Varias vulnerabilidades en el conversor de archivos de Microsoft Works, relacionadas con validaciones incorrectas en los largos de encabezados y campos, y en el encabezado de tablas, podrían permitir a un atacante remoto ejecutar código arbitrario con los permisos del usuario que se encuentre usando el equipo, si dicho usuario abre un archivo .wps especialmente creado con cadenas malformadas.

Impacto
El impacto de las vulnerabilidades presentadas en cada boletín se incluye en los resúmenes precedentes.

Recomendaciones
Se recomienda aplicar los parches correspondientes al boletín en los sistemas afectados. El proveedor de los sistemas afectados ofrece además diversas herramientas para la automatización del proceso de actualización. Para más información, consulte la información suministrada por el proveedor.

Referencias
Para más información sobre este boletín consultar el siguiente sitio:

http://www.microsoft.com/technet/security/bulletin/ms08-feb.mspx

Fuente: ArCert