Lo que debe saber del Enero Patch Tuesday de Microsoft

Microsoft publicó hoy en su primer Patch Tuesday, dos boletines de seguridad llamados MS11-001 y MS11-002, que reparan 3 vulnerabilidades.
Para los lectores que están a cargo del patchmanagement (administración de las actualizaciones del sistema operativo y aplicaciones) en sus empresas, les recomiendo este site de la firma de seguridad Sophos donde pueden encontrar registrados y clasificados todos los parches de seguridad de Microsoft, página de vulnerabilidades.
Vamos a revisar de forma general estos dos boletines y continuamos con nuestro tema central:

• MS11-001 resuelve la vulnerabilidad clasificada como CVE-2010-3145:
  Copio textualmente del site de Microsoft "Esta actualización de seguridad resuelve una vulnerabilidad que se ha divulgado públicamente en Administrador de copias de seguridad de Windows. La vulnerabilidad podría permitir la ejecución remota de código si un usuario abre un archivo de Administrador de copia de seguridad de Windows legítimo que se encuentre en el mismo directorio de red que un archivo de biblioteca especialmente diseñado."
  En este momento considero oportuno hacer un comentario, esta vulnerabilidad ataca el administrador de copias de seguridad (windows backup manager) y también al Drive Encryption Api del Microsoft Vista BitLocker, no es irónico que ambas soluciones (una de respaldo y otra de cifrado) que deberían contribuir a la seguridad, introduzcan huecos que permitan que sean saltadas.
• MS11-002 resuelve dos vulnerabilidades: CVE-2011-0026 y CVE-2011-0027.
  Estas vulnerabilidades atacan varias partes del MDAC (microsoft data access components), el parche es considerado crítico, aunque las vulnerabilidades fueron descubiertas por el mismo Microsoft y no hay indicios de que hayan sido explotadas todavía.

Mi pregunta entonces sería la siguiente, ¿Porqué Microsoft no liberó los parches para las vulnerabilidades CVE-2010-3970 y CVE-2010-3971? que son vulnerabilidades recientes, muy comentadas y críticas.

La primera tiene que ver con la forma en que Microsoft Office maneja los preview de los archivos de imágenes, es conocido como la vulnerabilidad del Graphics Rendering Engine y, fue un caso de estudio hacker en una reciente convención de hackers en Korea. Para los lectores que están usando el antivirus de Sophos, pueden estar tranquilos, Sophos detecta y bloquea todos los archivos que atacan esta vulnerabilidad, los identifica como Mal/CVE3970-A.
La segunda ataca los archivos CSS (Cascading Style Sheet) y al Internet Explorer.

Para ambos huecos sin parchar, Microsoft recomienda usar su herramienta gratis de mitigación de seguridad Enhanced Mitigation Experience Toolkit (EMET). Con esta herramienta, tu puedes forzar la protección ASLR para todas las librerías DLL cargadas por una aplicación específica, tal como el Internet Explorer, aunque estas librerías DLL no soliciten esta seguridad de forma predeterminada.

Nos gustaría conocer sus comentarios acerca del Microsoft EMET o cualquiera de estas vulnerabilidades.

___________________
http://www.maestre.com.ve/
@maes3consulting