La próxima semana Microsoft emitirá 17 actualizaciones en su boletín mensual de seguridad. Con ellas, la compañía cubrirá 40 vulnerabilidades de Windows, Internet Explorer (IE), Office, SharePoint y Exchange. Entre los 40 parches se incluirán dos para resolver un par de agujeros que ya están siendo explotados por los hackers.
La cantidad de actualizaciones de este boletín de seguridad es la mayor emitida por Microsoft desde su boletín de octubre de 2010, que incluyó 49. Ello se debe, en parte, a decir de Mike Reavey, director de Microsoft Security Response Center (MSRC), a que la compañía ofrece soporte de sus productos para hasta diez años y el software más antiguo está por preparado para los nuevos métodos de ataque, algo que se une al crecimiento global del escenario de las vulnerabilidades.
De las 17 actualizaciones, dos han sido clasificadas como “críticas” por Microsoft, el máximo nivel dentro del ranking de valoración de amenazas del fabricante. Otras 14 han sido clasificadas en el segundo nivel: importante. El resto son de nivel “moderado”.
Diez de ellas pueden ser explotadas por los atacantes para la inyección de código malicioso de forma remota en PC vulnerables. A menudo Microsoft valora las brechas que permiten esta ejecución –las más peligrosas- como “importantes” en lugar de como “críticas” cuando los componentes afectados no están activados por defecto en los productos o cuando exigen otros factores que mitigan el peligro, como medidas defensivas tipo ASLR o DEP.
Entre los parches de su próximo boletín, Microsoft incluirá uno para solucionar una vulnerabilidad descubierta a principios de noviembre en todas las versiones soportadas de Internet Explorer (IE). Se trata de una vulnerabilidad de día cero; es decir, contra la que ya circulan ataques.