Es esa época del mes cuando Microsoft lanzó su Patch Tuesday destinado a corregir vulnerabilidades. El martes de parches del mes pasado planteó algunos problemas para los usuarios, ya que todavía estaban causando errores, ya que estaban "a medias". Este es el octavo parche del martes del año y viene con ocho nuevos boletines de seguridad (¿coincidencia?) Con solo tres calificados como "Críticos" y cinco como "Importantes".

Los ocho boletines de seguridad lanzados por Microsoft corrigen 23 vulnerabilidades de Windows, Internet Explorer e Exchange. Los parches más importantes, según la recomendación de Microsoft, son MS13-059 (Internet Explorer) y MS13-060 (Windows XP y Server 2003.). Después de aplicar esos parches de primera prioridad, debe parchear cualquier otro software de Microsoft que esté utilizando para asegurarse de tener una seguridad de primer nivel

23 vulnerabilidades encontradas en Patch Tuesday

El boletín de seguridad MS13-059 es una actualización de seguridad importante para Internet Explorer que cubre 11 vulnerabilidades privadas. No sabemos si estos han sido ampliamente utilizados o si los hackers los han explotado en gran medida.

Las vulnerabilidades más graves podrían permitir la ejecución remota de código si un usuario visita una página web especialmente diseñada con Internet Explorer. Un atacante que aprovechara con éxito la más grave de estas vulnerabilidades podría obtener los mismos derechos de usuario que el usuario actual.

El boletín de seguridad MS13-060 parchea una vulnerabilidad encontrada en el procesador de secuencia de comandos Unicode de Microsoft Exchange Server, lo que permite a los piratas informáticos procesar la fuente como un vector de ataque. El CTO de Qualys, Wolfgang Kandek, explicó:

Las fuentes se dibujan en el nivel del núcleo, por lo que si puede influir de alguna manera en el dibujo de las fuentes y desbordarlo. Esto le daría al atacante el control sobre la computadora de la víctima.

Amol Sarwate, Director de Qualys Vulnerability Labs:

Es un vector de ataque muy atractivo. Todo lo que un atacante tendría que hacer es dirigir a la víctima a un documento, correo electrónico o página web maliciosa para explotar la vulnerabilidad.

Además de lo anterior, aquí hay algunos otros aspectos destacados y "golosinas" del Patch Tuesday de este mes y la descripción del resto de los boletines de seguridad:

• MS13-061 - vulnerabilidad de las bibliotecas de Oracle "Outside In"
• MS13-062: vulnerabilidad que afecta el código de manejo de RPC en todas las versiones de Windows
• MS13-063: omisión de ASLR (asignación aleatoria del diseño del espacio de direcciones) y 3 vulnerabilidades de corrupción del kernel para permitir la elevación de privilegios
• MS13-064: vulnerabilidad de denegación de servicio única en el controlador NAT de Windows Server 2012
• MS13-065: vulnerabilidad de denegación de servicio en la pila IPv6 en todas las versiones de Windows, excepto XP y Server 2003
• MS13-066: vulnerabilidad de divulgación de información en los Servicios de federación de Active Directory (AD FS) en todas las versiones de Windows Server basadas en Intel que no sean Server Core.

Además de esto, Microsoft también ha actualizado Windows 8 y RT 'para mejorar la funcionalidad de protección en Windows Defender'.