Microsoft lanzará hoy martes seis parches, dos para los últimos ataques contra Windows y Explorer

De forma inusual, Microsoft ha confirmado el lanzamiento de actualizaciones de seguridad para solucionar vulnerabilidades que actualmente están siendo atacadas.
Microsoft ha confirmado que el boletín de seguridad que emitirá el próximo 14 de julio incluirá seis actualizaciones, entre las que se encontrarán dos para las brechas que los hackers han estado aprovechando para atacar Windows e Internet Explorer en los últimos meses.

De los seis parches, tres afectan a Windows y uno solucionará problemas en Publisher, Internet Security and Acceleration Server (ISA) y en Virtual PC y Virtual Software. Las actualizaciones de Windows serán clasificadas como “críticas”, el nivel más alto por amenazas, mientras que las otras llevarán la etiqueta de “importantes”, el siguiente nivel en el sistema de puntuación de cuatro estadios fijado por la compañía.

Microsoft ha querido dejar claro en su avance que dos de los tres parches críticos para Windows que lanzará la próxima semana abordarán las vulnerabilidades que ya admitió en un par de recientes avisos de seguridad, algo bastante inusual en la compañía. Normalmente, sus avances de notificaciones y cualquier comentario adicional no especifican qué agujeros serán parcheados.

Jerry Bryant, portavoz del Centro de Investigación en Seguridad de Microsoft (MSRC), confirmó en su blog que resolverá la vulnerabilidad de DirectShow, de la que ya advirtió. También en la lista de parches del martes figurará uno contra el más reciente agujero en ActiveX, que los hackers han estado aprovechando desde principios de junio para secuestrar ordenadores basados en Windows XP.

Según unos investigadores, Microsoft tenía conocimiento de esta brecha desde hace más de 12 meses, si bien los hackers la llevan explotando, al menos, desde el 9 de junio de este año. A este respecto, Mike Reavey, director del MSRC, ha confirmado que la compañía sabia del agujero desde comienzos de la primavera de 2008, pero ha negado que conocieran los ataques masivos hasta la pasada semana.

El parche para la vulnerabilidad de ActiveX no será un parche per se, según Reavey, sino una actualización automática que establecerá un amplio conjunto de “kill bits” para deshabilitar el control de desbordamiento del búfer.