En su actualización de seguridad de ayer, Microsoft cubrió 11 vulnerabilidades, incluida una brecha de seguridad en Office que afecta a Outlook y puede ser aprovechada por los hackers para lanzar ataques “dry-by”.
De las 11 vulnerabilidades para las que Microsoft ha incluido parches en su actualización de seguridad de noviembre, ésta es la única valorada como crítica por el fabricante. Las otras diez son “importantes”, el segundo nivel de riesgo dentro del ranking de valoración de fallas de seguridad de la compañía.
“El parche más preocupante de este mes es el desarrollado para Office”, explica Andrew Storms, director de operaciones de seguridad de nCircle Security. “Se trata de una vulnerabilidad RTF que puede ser explotada con éxito únicamente con que la víctima visualice un mensaje en Outlook. Basta con que reciba un mensaje malicioso”.
Esta falla queda resuelta con la actualización MS10-087, que incluye cinco parches para Office XP, 2003, 2007 y 2010 sobre Windows, y Office para Mac 2004, 2008 y 2011. De ellos, el crítico cubre una vulnerabilidad en el analizador RTF (Rich Text Format) de Outlook, el cliente de correo electrónico de Office y la propia Microsoft reconoce que puede explotarse simplemente consiguiendo que el usuario pre visualice o abra un mensaje malicioso.
En esta actualización, la compañía no ha incluido ningún parche para Windows ni para Internet Explorer (IE), algo poco frecuente y que deja al descubierto una falla en IE que ya está siendo objeto de ataques.