En su ciclo habitual de actualizaciones los segundos martes de cada mes, Microsoft ha anunciado que en esta ocasión se esperan 13 boletines de seguridad. Afectan a toda la gama del operativo Windows, y pueden contener un número indeterminado de vulnerabilidades, aunque está programado corregir 26 vulnerabilidades. Microsoft tampoco soluciona en esta tanda ni el grave fallo en IIS descubierto hace semanas, ni otro problema en el protocolo SMB. Sí que corregirá al menos el problema de elevación de privilegios revelado recientemente.
Si en enero se publicó solo un boletín de seguridad dentro del ciclo habitual, este mes Microsoft prevé publicar 13 el próximo 9 de febrero. Se consideran críticos cinco de ellos, siete importantes y uno moderado. El día 21 de enero se publicó un boletín “adelantado” para corregir un grave fallo en Internet Explorer.
Adicionalmente, y como viene siendo habitual, Microsoft publicará una actualización para Microsoft Windows Malicious Software Removal Tool. Además, se publicarán actualizaciones de alta prioridad no relacionadas con la seguridad.
En octubre de 2009 Microsoft publicó también 13 boletines de seguridad (el mayor número de boletines publicados en su ciclo habitual), pero en aquella ocasión corregía 34 vulnerabilidades diferentes. En los últimos 5 años, Microsoft ha publicado 13 boletines solo dos veces y 12 boletines en cuatro ocasiones. Últimamente, su media está en 5 ó 6 boletines por tanda, pero con grandes oscilaciones (meses de pocos boletines seguidos de ciclos con un gran volumen de vulnerabilidades).
IIS no aparece como uno de los productos sobre los que aplicar parche este martes, por lo que Microsoft confirma que en esta tanda tampoco cerrará el grave problema en IIS encontrado a mediados de diciembre, y que permite ejecución remota de código ASP en Internet Information Server 6.x de forma trivial.
Tampoco corregirá un fallo en SMB que permite provocar una denegación de servicio en el sistema, y que reconoció el 13 de noviembre.
Al menos, parece que el grave problema de elevación de privilegios que sacudió a Microsoft a mediados de enero será corregido en esta tanda. Esta vulnerabilidad constituye un grave problema para compañías que utilicen el soporte para aplicaciones de 16 bits, puesto que la única forma de prevenirla eficazmente es deshabilitar esta propiedad del sistema. En este sentido, Microsoft parece haber trabajado duro para publicar un parche lo antes posible.
Los parches anunciados están sujetos a cambios, por tanto, no se garantiza que no se produzcan cambios de última hora.
Fuente: hispasec