Microsoft publica el conjunto de parches de febrero

Hispasec - una-al-día 10/02/2004

Fiel a su nueva política de publicación de parches, y tras haber publicado la esperada actualización de Internet Explorer la pasada semana, Microsoft ha publicado hoy, segundo martes de febrero el conjunto de parches desarrollados desde su última actualización en enero. En esta ocasión los productos para los que se publican nuevas actualizaciones son sistemas Windows (Windows 2000, NT, XP y 2003) y Virtual PC for Mac.

Microsoft ha liberado tres nuevos parches para corregir fallos de seguridad en su software. El primero de los problemas hace relación a una vulnerabilidad en el soporte que los servidores hacen del servicio WINS (Windows Internet Naming Service) catalogado con una importancia desde baja a importante en función de la plataforma afectada.

De importancia crítica se considera la vulnerabilidad en el soporte del tipo de datos ASN.1 realizado por Windows NT, 2000, XP y Windows Server 2003 y que puede dar lugar a la ejecución de código remota en los sistemas afectados. Dentro del conjunto de actualizaciones de Windows y dado que se ha publicado en el último mes, también incluye el parche ya publicado para Internet Explorer.

Por último, se informa de una vulnerabilidad en Virtual PC for Mac, catalogada como importante. Esta aplicación de Microsoft permite a los usuarios de la plataforma Macintosh hacer uso de programas Windows.

Volviendo a los parches de este mes, desde Hispasec, en nuestra línea, dedicaremos diversos boletines a la descripción detallada de los mismos, así como cualquier otro incidente destacable que pueda derivarse por problemas o incompatibilidades con los mismos.

A continuación un listado de las vulnerabilidades y el software afectado, en el apartado más información puede encontrarse las direcciones para acceder a los avisos originales de Microsoft y la descarga de los parches.

* Actualización acumulativa de seguridad para Internet Explorer (MS04-004) Afecta a Windows NT Workstation 4.0, Windows NT Server 4.0 Service Pack 6a, Windows NT Server 4.0 Terminal Server, Windows 2000, Windows XP y Windows Server 2003.

* Vulnerabilidad en ASN .1 puede permitir la ejecución de código (MS04-007) Afecta a Windows NT Workstation 4.0, Windows NT Server 4.0, Windows NT Server 4.0 Terminal Server, Windows 2000, Windows XP y Windows Server 2003.

* Vulnerabilidad en Windows Internet Naming Service (WINS) puede permitir la ejecución de código (MS04-006) Afecta a Microsoft Windows NT Server 4.0, Windows NT Server 4.0 Terminal Server, Windows 2000 Server, y Windows Server 2003.

* Vulnerabilidad en Virtual PC for Mac puede provocar elevación de privilegios (MS04-005) Afecta a Microsoft Virtual PC for Mac versiones 6.0, 6.01, 6.02 y 6.1.

Opina sobre esta noticia:

http://www.hispasec.com/unaaldia/1934/comentar

Más información:

MS04-004 - Cumulative Security Update for Internet Explorer (832894) http://www.microsoft.com/technet/security/bulletin/ms04-004.asp

MS04-007 - ASN .1 Vulnerability Could Allow Code Execution (828028) http://www.microsoft.com/technet/security/bulletin/ms04-007.asp

MS04-006 - Vulnerability in the Windows Internet Naming Service (WINS) http://www.microsoft.com/technet/security/bulletin/ms04-006.asp

MS04-005 - Vulnerability in Virtual PC for Mac could lead to privilege elevation (835150) http://www.microsoft.com/technet/security/bulletin/ms04-005.asp

una-al-dia (03/02/2004) Microsoft corrige la vulnerabilidad de falsificación de URLs en Internet Explorer http://www.hispasec.com/unaaldia/1927

Antonio Ropero 

antonior@hispasec.com