MICROSOFT PUBLICARÁ SEIS BOLETINES DE SEGURIDAD EL PRÓXIMO MARTES

Llama la atención que se especifique claramente que se va a corregir la vulnerabilidad en XML Core Services descubierta el 4 de noviembre y de la que circulan ya numerosos exploits públicos. Normalmente no se ofrecen demasiados detalles sobre lo que se va a corregir y lo que no. En octubre, por ejemplo, se corrigió una vulnerabilidad (según el boletín MS06-061) también en XML Core Services (versión 3.0, en este caso) y no fue diferenciada en su nota de avance, sino que se incluyó como una corrección más para el sistema operativo. Quizás sea una forma de "tranquilizar" a los afectados, para que no queden dudas sobre si la grave vulnerabilidad será corregida o no.

Se trata de un fallo en el control ActiveX de XMLHTTP 4.0 (librería msxml4.dll) concretamente en la función setRequestHeader. Microsoft XML Core Services (MSXML) permite comunicación XML estándar a JScript, VBScript (lenguajes propietarios de Microsoft que utiliza Internet Explorer, principal vector de ataque para esta vulnerabilidad) y a Visual Studio 6.0.

También se espera que corrija otra grave vulnerabilidad encontrada en Visual Studio 2005 y que afecta a la librería WmiScriptUtils.dll (sólo se podría ser vulnerable si se tiene esta librería instalada). Aunque la forma de aprovechar esta vulnerabilidad no es tan "popular" como la anterior, de este problema también se han detectado ataques que intentan aprovecharla.

Es de esperar que por primera vez, se distribuyan parches oficiales para Internet Explorer 7.

Sergio de los Santos
ssantos@hispasec.com