Fuente: SearchSecurity.com

Microsoft publicó el martes dos actualizaciones de emergencia fuera de ciclo para corregir fallas en Active Template Library, las cuales afectan a Internet Explorer y Visual Studio.

La actualización a Internet Explorer también corrige problemas que se identificaron en una presentación de la conferencia Black Hat 2009 el pasado miércoles. Los investigadores presentarán cómo evadir los killbits utilizados para proteger una máquina contra los controles ActiveX inseguros, según un informe del lunes por Robert McMillan de IDG. Los investigadores Marcos Dowd, Ryan Smith y David Dewey demostrarán una manera de evadir los killbits de los controles ActiveX en su presentación “The Language of Trust: Exploiting Trust Relationships in Active Content”.

La actualización de Internet Explorer bloquea las vulnerabilidades en los controles que se han desarrollado utilizando las versiones de ATL. MS09-034 está considerado crítico y afecta a todas las versiones de IE. La actualización también repara tres vulnerabilidades de corrupción de memoria que dejan vulnerables a cualquier ActiveX de IE malicioso. Las fallas podrían ser explotadas por un atacante para tomar el control completo de un sistema afectado, Microsoft dijo.

“Los clientes que actualmente están al día en sus actualizaciones de seguridad están protegidos contra ataques conocidos relacionados con esta actualización fuera de ciclo”, afirmó en un comunicado Mike Reavey, Director del Microsoft Security Response Center.

Los agujeros en Visual Studio pueden ser potencialmente graves, ya que la herramienta es utilizada por los desarrolladores y proveedores independientes de software para construir componentes utilizados en Windows. MS09-035 corrige tres fallas en Active Template Library de Visual Studio que permite a los desarrolladores construir aplicaciones vulnerables.

“Para garantizar que los clientes estén protegidos lo antes posible, Microsoft está trabajando para identificar todos los controles y componentes vulnerables desarrollados por Microsoft y proporcionará actualizaciones adicionales”, dijo Reavey.

El ATL contiene una vulnerabilidad de objeto no inicializado, una vulnerabilidad de COM no inicializado y una vulnerabilidad de cadena nula. Las fallas pueden ser explotadas por ataques pasajeros (drive-by attacks). Un atacante puede explotar las fallas en aplicaciones creadas con Visual Studio mediante la creación de una página Web maliciosa.

“Se recomienda aplicar los parches contra esto urgentemente”, dijo John Harrison, gerente de producto de Symantec Security Response. “Uno de los aspectos es que simplemente no se sabe qué tan generalizada puede estar una biblioteca y hemos encontrado anteriormente que los huecos pueden aparecer en una variedad de diferentes paquetes de software.”

Técnicamente algunos de los programas construidos dentro de Visual Studio pueden ser potencialmente vulnerables también, dijo Jason Miller, director de equipo de seguridad de datos del fabricante de gestión de parches Shavlik Technologies LLC. La aplicación de parches podría ser un problema para las empresas que han estado desarrollando aplicaciones con Visual Studio, dijo Miller.

“Podría considerarse crítico para las empresas que han estado utilizando Visual Studio”, dijo Miller. “Si se trata de un roll-out, esto podría tomar tiempo. Tendrían que re-empaquetar algunos de sus archivos DLL si se determina que podrían ser vulnerables por haberse desarrollado con este producto.”