Security Advisory KB979352

Buenas tardes.Os informo de la próxima publicación de un nuevo boletín de seguridad considerado como Crítico y que afecta a todas las versiones de Internet Explorer, el cual será lanzado hoy 21 de Enero, fuera del ciclo mensual de boletines, debido a su alto impacto y criticidad.

Por este motivo, os recomiendo su revisión y la instalación de la actualización correspondiente.
A continuación os dejo los detalles técnicos de este boletín de seguridad.

--------------------------------------------------------

What is the purpose of this alert?

This is an advance notification of one out-of-band security bulletin that Microsoft is intending to release on January 21, 2010. The bulletin will be for Internet Explorer to address limited, targeted attacks against customers using Internet Explorer 6, as well as fixes for vulnerabilities rated Critical that are not currently under active attack.

The purpose of the notification is to assist customers with resource planning for this security bulletin release. The information offered in the notification is purposely general in nature to provide enough information for customers to plan for deployment without disclosing vulnerability details or other information that could put them at risk.

New Bulletin Summary
Bulletin Identifier Internet Explorer
Maximum Severity Rating Critical
Impact of Vulnerability Remote Code Execution
Restart Requirement The update will require a restart.
Affected Software All supported versions of Internet Explorer on Windows 2000, Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008*, Windows 7, and Windows Server 2008 R2*.

* Where indicated in the Affected Software table on the Advance Notification Web Page, the vulnerabilities addressed by this update do not affect supported editions of Windows Server 2008 or Windows Server 2008 R2, when installed using the Server Core installation option. Please see the Advance Notification Web page at the link below for more details.

Although we do not anticipate any changes, the information provided in this summary is subject to change until the release.

The full version of the Microsoft Security Bulletin Advance Notification for this release can be found at http://www.microsoft.com/technet/security/bulletin/ms10-jan.mspx.

Public Bulletin Webcast

Microsoft will host a webcast to address customer questions on these bulletins:
Title: Information about Microsoft January (OOB) Security Bulletin (Level 200)
Date: Thursday, January 21, 2010, at 1:00 PM Pacific Time (U.S. & Canada).
URL: http://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032440627
At this time no additional information on these bulletins, such as details regarding severity or details regarding the vulnerability, will be made available until the bulletin is published.

Resources related to this alert

1. Security Advisory 979352 – Vulnerability in Internet Explorer Could Allow Remote Code Execution: http://www.microsoft.com/technet/security/advisory/979352.mspx

2. Microsoft Knowledge Base Article 979352: http://support.microsoft.com/kb/979352

3. Issue Landing Page: http://www.microsoft.com/security/updates/ie.aspx

4. Microsoft Security Response Center (MSRC) Blog: http://blogs.technet.com/msrc/

5. Microsoft Security Research & Defense (SRD) Blog: http://blogs.technet.com/srd/

6. Microsoft Malware Protection Center (MMPC) Blog: http://blogs.technet.com/mmpc/

7. Microsoft Security Development Lifecycle (SDL) Blog: http://blogs.msdn.com/sdl/

Boletines de seguridad de Diciembre 2009

Este pasado martes Microsoft ha publicado seis boletines de seguridad (del MS09-069 y MS09-074) correspondientes a su ciclo habitual de actualizaciones, que corrigen un total de doce vulnerabilidades. Según la propia clasificación de Microsoft tres de los boletines presentan un nivel de gravedad "crítico", mientras que los tres restantes son "importantes".

Los boletines "críticos" son:

* MS09-071: Actualización destinada a corregir dos vulnerabilidades en el Servicio de autenticación de Internet al tratar los intentos de autenticación PEAP. Sólo están afectados los servidores con el Servicio de Autenticación de Internet cuando usan PEAP con la autenticación MS-CHAP v2. Estos problemas que afectan a Windows 2000, XP, Vista, Server 2003 y Server 2008, podrían permitir la ejecución remota de código.

* MS09-072: Actualización acumulativa para Microsoft Internet Explorer que además soluciona cinco nuevas vulnerabilidades que podrían permitir la ejecución remota de código arbitrario. Afecta a Internet Explorer 5.01, 6, 7 y 8.

* MS09-074: Actualización de seguridad para evitar una vulnerabilidad Microsoft Office Project, que podría permitir la ejecución remota de código si un usuario abre un archivo de Project especialmente creado. Afecta a Project 2000, 2002 y Office Project 2003.

Los boletines clasificados como "importantes" son:

* MS09-069: Actualización destinada a corregir una vulnerabilidad de denegación de servicio, si en un sistema afectado un usuario remoto autenticado envía mediante protocolo IPSEC un mensaje ISAKMP especialmente diseñado al Servicio LSASS (Subsistema de Autenticación de la Autoridad de Seguridad Local).

* MS09-070: Actualización que soluciona dos vulnerabilidades en Servicios de federación de Active Directory (ADFS, Active Directory Federation Services). Un usuario remoto autenticado podría lograr la ejecución remota de código si envía una petición http especialmente diseñada a un servidor web habilitado para ADFS.

* MS09-073: Actualización que soluciona una vulnerabilidad en Microsoft WordPad y Office Word, que podría permitir la ejecución remota de código si un usuario abre un archivo Word 97 específicamente manipulado.

Las actualizaciones publicadas pueden descargarse a través de Windows Update o consultando los boletines de Microsoft donde se incluyen las direcciones de descarga directa de cada parche. Dada la gravedad de las vulnerabilidades se recomienda la actualización de los sistemas con la mayor brevedad posible


Más Información:

Boletín de seguridad de Microsoft MS09-071 - Crítico
Vulnerabilidades en el Servicio de autenticación de Internet podría permitir la ejecución remota de código (974318)
http://www.microsoft.com/spain/technet/security/Bulletin/ms09-071.mspx

Boletín de seguridad de Microsoft MS09-072 - Crítico
Actualización de seguridad acumulativa para Internet Explorer (976325)
http://www.microsoft.com/spain/technet/security/Bulletin/ms09-072.mspx

Boletín de seguridad de Microsoft MS09-074 - Crítico
Una vulnerabilidad en Microsoft Office Project podría permitir la ejecución remota de código (967183)
http://www.microsoft.com/spain/technet/security/Bulletin/ms09-074.mspx

Boletín de seguridad de Microsoft MS09-069 - Importante
Una vulnerabilidad en el servicio del subsistema de autoridad de seguridad local podría permitir la denegación de servicio (974392)
http://www.microsoft.com/spain/technet/security/Bulletin/ms09-069.mspx

Boletín de seguridad de Microsoft MS09-070 - Importante
Vulnerabilidades en Servicios de federación de Active Directory podrían permitir la ejecución remota de código (971726)
http://www.microsoft.com/spain/technet/security/Bulletin/ms09-070.mspx

Boletín de seguridad de Microsoft MS09-073 - Importante
Una vulnerabilidad en los convertidores de texto de WordPad y Office podría permitir la ejecución remota de código (975539)
http://www.microsoft.com/spain/technet/security/Bulletin/ms09-073.mspx

Win32/Conficker.B worm (MS08-067)

Numerosas empresas están teniendo problemas por gusanos de la familia Conficker/Downadup si no se ha aplicado la actualización de seguridad MS08-067

En cuanto a la información relativa al gusano, podéis obtenerla actualizada en :

Microsoft Malware Protection Center - Entry: Worm Win32/Conficker.B: http://www.microsoft.com/security/portal/Entry.aspx?name=Worm%3aWin32%2fConficker.B

En cuanto a las acciones a llevar a cabo, existe una recopilación de acciones a llevar a cabo en el artículo:

Virus alert about the Win32/Conficker.B worm:

http://support.microsoft.com/kb/962007

Cualquier plan de acción pasará por actualizar todos los motores o firmas antivirus (si ya han sido infectados por el worm), la MSRT también puede ayudar,  y pasar las actualizaciones de seguridad a todas las máquinas.

Mientras tanto, como recomendaciones generales es conveniente hacer logon con cuentas con las credenciales estrictamente necesaria para cada momento y evitar emplear cuentas de administrador y domain admins siempre que sea posible en máquinas que puedan estar infectadas. Es conveniente que todas las contraseñas (sobre todo éstas últimas) sean seguras (incluyan complejidad)… y si no es así resetear las contraseñas de administradores incluyendo complejidad.

Enlaces de interés:

Blog de Soporte en Español

http://blogs.technet.com/plataformas/archive/2009/01/22/la-importancia-de-instalar-las-actualizaciones-de-seguridad-ms-08-067-y-el-virus-conficker.aspx


The MMPC Malware Encyclopedia entry for Worm:Win32/Conficker.B Is here:

http://www.microsoft.com/security/portal/Entry.aspx?Name=Worm:Win32/Conficker.B

The MMPC blog is also being used to communicate our current intelligence regarding these attacks:
http://blogs.technet.com/mmpc/archive/2008/12/31/just-in-time-for-new-years.aspx

The Microsoft Malware Protection Center (MMPC): http://www.microsoft.com/security/portal/default.aspx

MMPC entries for all variants of conficker: http://www.microsoft.com/security/portal/SearchResults.aspx?query=conficker

Microsoft Security Advisory 958963 – Exploit Code Published Affecting the Server Service:

http://www.microsoft.com/technet/security/advisory/958963.mspx

Microsoft Security Bulletin MS08-067 - Vulnerability in Server Service Could Allow Remote Code Execution (958644) -

http://www.microsoft.com/technet/security/bulletin/MS08-067.mspx

MSRC Blog:
http://blogs.technet.com/msrc