Como
cada mes, Microsoft ha revelado un
adelanto de los boletines de seguridad que serán publicados dentro de su
ciclo de actualizaciones, el próximo martes 12 de agosto. En esta ocasión, Microsoft publicará nueve boletines
(del MS14-043 al MS14-051) que corregirán múltiples vulnerabilidades en
diversos sistemas. Pero además, una gran e importante
novedad para Internet Explorer, que permitirá bloquear controles ActiveX
anticuados, lo que incluye Java
ActiveX es una tecnología propia
de Microsoft que con el tiempo ha sido clasificada prácticamente de maldita en
cuestión de seguridad. Los controles ActiveX son aplicaciones que permiten a
los sitios web proporcionar diferentes contenidos, como vídeo o juegos. Sin
embargo, estos controles no se actualizan y pueden permanecer desfasados aunque
haya nuevas versiones disponibles.
Aunque esta medida no vaya a
solucionar el problema de los ActiveX, Microsoft pretende ayudar a controlar la
situación introduciendo en Internet
Explorer una nueva característica de seguridad llamada "out-of-date
ActiveX control blocking". Esto permitirá:
- Conocer cuando Internet
Explorer impide a una página web cargar controles ActiveX anticuados.
- Interactuar con otras partes de
la página web que no se ven afectadas por el control obsoleto.
- Actualizar el control
anticuado.
- Inventariar los controles
ActiveX que se usan.
Esta característica estará
disponible en Windows 7 SP1 con Internet Explorer 8 a 11, en Windows 8 (y
superior) con Internet Explorer para escritorio y en todas las zonas de
seguridad salvo en la Intranet Local
y en Sitios de Confianza.
Para decidir que controles
bloquear, Internet Explorer emplea el archivo "
versionlist.xml". Este archivo se actualizará con los
controles ActiveX anticuados según se detecten. Microsoft comienza marcando las
versiones anticuadas de Java, pero con el tiempo añadirá más controles a la
lista.
En esta primera actualización, se
pretende notificar la carga de las siguientes versiones de los controles Java
ActiveX:
- J2SE 1.4, versiones inferiores
a update 43
- J2SE 5.0, versiones inferiores
a update 71
- Java SE 6, versiones inferiores
a update 81
- Java SE 7, versiones inferiores
a update 65
- Java SE 8, versiones inferiores
a update 11
Se puede visualizar la lista
completa de controles ActiveX monitorizados en
Curiosamente se siguen dejando fuera
de control versiones de Java 6 algo totalmente desaconsejado, pues se trata de
versiones ya sin soporte y con múltiples problemas conocidos.
Para finalizar con la lista de
boletines de seguridad publicados, los siete restantes son de nivel importante
y solucionarán una vulnerabilidad de ejecución de código en Microsoft OneNote
2007; cuatro de elevación de privilegios en SQL Server 2008, SharePoint Server
y en los sistemas operativos Windows; y por último dos problemas de evasión de
características de seguridad en .Net y en los sistemas operativos Windows.
Como es habitual, Microsoft
también lanzará una actualización para su herramienta "Microsoft Windows Malicious Software Removal
Tool" que estará disponible desde Microsoft Update, Windows Server
Update Services y su centro de descargas.
Desde Hispasec se informará
puntualmente sobre los nuevos parches a través de este servicio de noticias,
dando una información más detallada sobre los boletines de actualización de
Microsoft.
Más información:
Microsoft Security Bulletin Advance
Notification for August 2014
Internet Explorer begins blocking out-of-date
ActiveX controls
Advance Notification Service for the August 2014
Security Bulletin Release
una-al-dia (15/05/2008) Mitos y
leyendas: Seguridad en ActiveX I (Introducción)
una-al-dia (22/05/2008) Mitos y
leyendas: Seguridad en ActiveX II (Protección)
Antonio Ropero
