Controladores de Office y del modo kernel con peligrosas lagunas

Microsoft ha publicado nueve boletines de seguridad para el primer patchday de enero de 2016, al parecer en un principio iban a ser diez. Detrás de seis entradas en la base de datos de actualizaciones se encuentran las actualizaciones críticas, por ejemplo para los navegadores de la propia compañía y Microsoft Office.

Como es habitual, Microsoft dedica un boletín de seguridad independiente a Internet Explorer (IE) y al navegador Edge introducido con Windows 10. Ambos visores de Internet pueden ser explotados por un atacante remoto para ejecutar código en sistemas vulnerables (ejecución remota de código, RCE). Para ello, la víctima debe visitar un sitio web manipulado o personalizado, por ejemplo, haciendo clic en un enlace enviado por correo electrónico o chat.

Microsoft Edge tiene un problema general de procesamiento de objetos en memoria, la actualización MS16-002 proporciona un remedio. Internet Explorer, por su parte, sólo tiene problemas con los objetos de memoria basados en VBScript. El boletín de seguridad MS16-001 corrige este error y también funciona en las políticas de dominio cruzado.

El paquete de actualización se proporciona para todas las versiones del navegador, que entonces termina el soporte para algunas variantes de IE. En el futuro, los usuarios solo recibirán actualizaciones para los navegadores más recientes, en función del sistema operativo que utilicen: los usuarios de Windows Vista deben actualizar a IE 9, en Windows 7 y 8.1 es necesaria una actualización a IE 11.

También se han encontrado otras vulnerabilidades RCE en el motor de scripting para VBScript y JScript. Sólo están afectadas las versiones 5.7 y 5.8 bajo Windows Vista, Windows Server 2008 e instalaciones de núcleo de servidor de Windows Server 2008 R2. En este caso, los objetos en memoria también se procesan de forma incorrecta; el parche MS16-003 pretende solucionar esto.

Las versiones de Office para Windows y Mac se ven amenazadas

Los usuarios de Office también pueden ser víctimas de una violación de memoria, amenazando de nuevo con la ejecución remota de código en el peor de los casos. Además de Office 2007, 2010, 2013 y 2016, los componentes de Office 2011 y 2016 para ordenadores Mac también están en riesgo por la vulnerabilidad crítica. Además de las suites generales de Office, Excel en particular está luchando con serios problemas de memoria.

La actualización MS16-004 no sólo pretende corregir estas vulnerabilidades RCE, sin embargo, sino también eludir la función de seguridad ASLR (Address Space Layout Randomisation). Se dice que un bypass de seguridad correspondiente afecta a todos los componentes de Office mencionados, así como a Sharepoint Server y Foundation 2013 y al tiempo de ejecución de VisualBasic 6.0.

El boletín de seguridad MS16-005 se está desplegando para todos los sistemas operativos de cliente y servidor que todavía son compatibles con Microsoft. Corrige las vulnerabilidades de memoria en el controlador del modo kernel que pueden ser explotadas al visitar sitios de Internet comprometidos. La actualización se considera crítica sólo en el caso de Windows Vista, Windows Server 2008, Windows 7 y Windows Server 2008 R2.

El último parche, que cierra una grave pasarela RCE de enero de 2016, se esconde tras el identificador MS16-006. En este caso, se actualiza el plugin multimedia Silverlight 5 y el entorno de ejecución correspondiente. Sin la actualización, el complemento del navegador ofrece resultados incorrectos al validar los resultados del descodificador.

Otras tres actualizaciones sólo han recibido la calificación de "Importante" por parte de Microsoft. El primero es el parche MS16-007, que aborda vulnerabilidades RCE menos graves en Windows y DirectShow. La actualización MS16-008 evita que un usuario eleve sus privilegios utilizando una aplicación personalizada (Escalada de privilegios). El boletín de seguridad MS16-010 de Microsoft se proporciona para Microsoft Exchange Server. Las solicitudes defectuosas en el contexto de las sesiones de OWA pueden promover ataques de inyección y suplantación de identidad.

Deja un comentario