Inicio / Alerta Temprana / Avisos Seguridad / Microsoft publica actualización de seguridad fuera de ciclo (Julio 2009)

Microsoft publica actualización de seguridad fuera de ciclo (Julio 2009)

Fecha de publicación: 
29/07/2009
Importancia: 
3 - Media
Recursos afectados: 
  • Internet Explorer v8 y versiones anteriores
  • Microsoft Visual Studio .NET 2003 Service Pack 1
  • Microsoft Visual Studio 2005 Service Pack 1
  • Microsoft Visual Studio 2008 y Service Pack 1
  • Microsoft Visual C++ 2005 Service Pack 1 Redistributable Package
  • Microsoft Visual C++ 2008 y Service Pack 1 Redistributable Package
Descripción: 

Fuera de su ciclo habitual de actualizaciones del segundo martes de cada mes, Microsoft ha publicado dos actualizaciones de seguridad. La primera de estas actualizaciones es para Internet Explorer, la segunda actualización de seguridad afecta a la Biblioteca de Plantillas Activas de Microsoft (Active Template Library (ATL)) incluida en Visual Studio.

Impacto: 

Las vulnerabilidades para Internet Explorer tienen un impacto crítico y podrían permitir la ejecución remota de código en caso de que un usuario con Internet Explorer visite una página Web especialmente manipulada. Los usuarios que utilicen una cuenta con pocos privilegios, estarán menos afectados que aquellos que utilicen cuentas de administrador.

Para Visual Studio la actualización es de criticidad Moderada, soluciona las vulnerabilidades de ATL, modificando las cabeceras de ATL para que los controles y componentes construidos utilizando las cabeceras puedan iniciarse de forma segura desde un flujo de datos.

Solución: 

Instalar las actualizaciones publicadas por Microsoft:

  • MS09-034: Actualización para Internet Explorer
  • MS09-035: Actualización para Visual Studio

En los boletines de seguridad se trata todo lo relativo a las actualizaciones, por lo que se recomienda a los administradores consultarlos y testearlos para evitar posibles efectos adversos. En muchos casos, siempre que se encuentre activado el servicio, las actualizaciones se realizarán de forma automática.

El equipo de Visual Studio publicó un articulo con instrucciones detalladas que los desarrolladores pueden usar para verificar si sus controles son vulnerables y los cambios que deben hacer para ayudar a asegurar sus controles.

Detalle: 

Los boletines publicados por Microsoft son:

  • MS09-034: Soluciona los problemas con ATL que afectan a Internet Explorer a la vez que también soluciona tres vulnerabilidades de corrupción de memoria.

  • MS09-035: Soluciona las vulnerabilidades en la versión pública de la Biblioteca de Plantillas Activas de Microsoft (Active Template Library (ATL)) incluidas en Visual Studio. Esta actualización está enfocada para los desarrolladores de componentes y controles. Los desarrolladores que creen y distribuyan componentes y controles que utilicen ATL, deberán instalar la actualización y seguir las indicaciones para crear y distribuir a sus clientes, componentes y controles que no sean vulnerables a estos fallos.

    La Biblioteca de Plantillas Activas de Microsoft (ATL) es un conjunto de clases de C++ basadas en plantilas que permite crear objetos COM (Modelo de Objetos Componentes - Component Object Model) pequeños y rápidos. ATL tiene un soporte especial para las características COM principales. Puede obtener más información en el siguiente artículo de MSDN.