Los de Redmond han publicado un avance sobre los boletines de correcciones que serán incluidos en la próxima actualización de seguridad del próximo martes. Uno de ellos resolverá una vulnerabilidad crítica que afecta a Internet Explorer y que fue descubierta nada más y nada menos que hace 8 meses.
Microsoft ha publicado en un avance el contenido de la importante actualización que lanzará el próximo martes correspondiente al mes de junio, en la que liberará siete boletines de seguridad que se ocuparán de varias vulnerabilidades descubiertas en sus productos, de los cuales dos son del tipo crítico y el resto son importantes. Estos fallos están afectando varios programas, incluidos Microsoft Word, Microsoft Office e Internet Explorer, aunque en este último caso ya han pasado 8 meses desde que una de sus vulnerabilidades fue descubierta. Sin duda, un amplio periodo de tiempo en el que los usuarios han estado expuestos a la posibilidad de un ataque.
El boletín uno es el considerado como más crítico, ya que solucionará una vulnerabilidad del tipo zero-day que permite la ejecución remota de código y que afecta a todas las versiones de Internet Explorer, incluida IE11 para Windows 8.1. Las versiones servidor de Windows también están afectadas, aunque a un nivel bajo de gravedad, ya que por defecto Internet Explorer se ejecuta en una configuración de seguridad mejorada, pero el resto de versiones, incluidas las de los usuarios particulares, si están afectadas desde octubre de 2013, por lo que los de Redmond han invertido y esperado 8 meses para ofrecer una solución.
Esta vulnerabilidad permite a un atacante remoto ejecutar código arbitrario mediante JavaScript, pero hasta ahora, no se sabe si ha sido utilizada por algún hacker para realizar ataques, según asegura Microsoft. “La actualización para Internet Explorer se ocupa de CVE-2014-1770, la cual no hemos detectado en ningún ataque activo”. Los de Redmond han mantenido en secreto esta vulnerabilidad crítica desde octubre de 2013, pero el pasado mes el equipo de la Zero Day Initiative reveló la existencia de la vulnerabilidad públicamente. Esta revelación fue provocada porque Microsoft no fue capaz de resolver el fallo en el plazo de 180 días dado por los investigadores tras avisar de su existencia.
Otras correcciones importantes, pero no para Windows XP
El resto de boletines incluyen importantes correcciones de vulnerabilidad en varios productos de Microsoft, como Office o el propio Windows. Existe también otra vulnerabilidad que permite ejecutar de forma remota código y se ha catalogado como crítica. Ésta afecta a todas las versiones de Windows incluyendo las de servidor. El resto son correcciones sobre fallos que afectan a LyncServer, Windows Vista en adelante y Windows 7 en adelante. La de Vista en adelante tiene que ver con una vulnerabilidad que permite ataques DoS, y la de Windows 7 en adelante con una vulnerabilidad que permite hacer falsificaciones de datos. De todas formas, una vez más se confirma que el fin del soporte de Windows XP es total, por lo que esta versión no recibirá ninguna actualización de seguridad, dejando a sus usuarios expuestos a varios peligros.