1. Forum
  2. Fidonet
  3. ESP.SEGURIDAD

  • =?iso-8859-1?q?una-al-dia_=2807/02/2009=29_Microsoft_publicar=E1_cuatro

    From noticias@hispasec.com@2:341/201.99 to All on Mon Feb 9 10:15:02 2009
    -----BEGIN PGP SIGNED MESSAGE-----
    Hash: SHA1

    -------------------------------------------------------------------
    Hispasec - una-al-día 07/02/2009
    Todos los días una noticia de seguridad www.hispasec.com
    -------------------------------------------------------------------

    Microsoft publicará cuatro boletines de seguridad el próximo martes
    -------------------------------------------------------------------

    En su ciclo habitual de actualizaciones los segundos martes de cada mes, Microsoft ha anunciado que en esta ocasión se esperan cuatro boletines
    de seguridad. Las actualizaciones afectarían a Internet Explorer,
    Microsoft Exchange Server, Microsoft SQL Server y Microsoft Office

    Si en enero se publicó un sólo boletín de seguridad, este mes Microsoft
    prevé publicar un total de cuatro actualizaciones el martes 10 de
    febrero. Dos de ellas, las dedicadas a la versión 7 de Internet Explorer
    y al servidor Exchange, alcanzan la categoría de críticas, mientras que
    las otras dos, referentes al servidor de SQL y al software gráfico Visio
    de Office, están catalogadas como importantes.

    Adicionalmente, y como viene siendo habitual, Microsoft publicará una actualización para Microsoft Windows Malicious Software Removal Tool.
    Además, se publicarán actualizaciones de alta prioridad no relacionadas
    con la seguridad.

    Dada la coincidencia de versiones afectadas, se especula con que
    el boletín dedicado a SQL Server se encargaría de solventar una
    vulnerabilidad reconocida por Microsoft el pasado 22 de diciembre,
    y de la que se han detectado exploits circulando por la red.

    Según se puede apreciar en la descripción de la vulnerabilidad publicada
    por Bernhard Mueller (SEC Consult) el pasado 12 de diciembre, el fallo
    estaría causado por un error al comprobar los parámetros en el
    procedimiento "sp_replwritetovarbin" y podría ser aprovechado para la
    ejecución remota de código.

    Un portavoz de Microsoft ha confirmado que la compañía estaba al tanto
    de la vulnerabilidad desde el pasado mes de abril y el propio Mueller
    afirma haber recibido una notificación de Microsoft en septiembre
    informándole de que el parche estaba listo.

    Como es habitual, cada boletín podrá contener un número indeterminado de correcciones de seguridad y hay que señalar que, en cualquier caso, el
    adelanto que ofrece Microsoft está sujeto a cambios de última hora.

    Hispasec Sistemas publicará puntualmente a través de este boletín
    información detallada sobre los nuevos parches.

    Opina sobre esta noticia:
    http://www.hispasec.com/unaaldia/3759/comentar

    Más información:

    Microsoft Security Bulletin Advance Notification for February 2009 http://www.microsoft.com/technet/security/bulletin/ms09-feb.mspx

    Microsoft Security Advisory (961040)
    Vulnerability in SQL Server Could Allow Remote Code Execution http://www.microsoft.com/technet/security/advisory/961040.mspx

    Microsoft SQL Server sp_replwritetovarbin limited memory overwrite vulnerability http://www.sec-consult.com/files/20081209_mssql-2000-sp_replwritetovarbin_memwrite.txt


    Pablo Molina
    pmolina@hispasec.com


    Tal día como hoy:
    -----------------

    07/02/2008: Comparativas Antivirus: adaptándose a los nuevos tiempos
    http://www.hispasec.com/unaaldia/3393

    07/02/2007: Marzo será el mes de los fallos en PHP
    http://www.hispasec.com/unaaldia/3028

    07/02/2006: "Kama Sutra", tan mediático como... ¿inofensivo?
    http://www.hispasec.com/unaaldia/2663

    07/02/2005: Herramientas gratuitas de Microsoft para detectar Sniffers
    http://www.hispasec.com/unaaldia/2298

    07/02/2004: Múltiples vulnerabilidades en RealOne Player y RealPlayer
    http://www.hispasec.com/unaaldia/1931

    07/02/2003: SDSC Secure Syslog
    http://www.hispasec.com/unaaldia/1566

    07/02/2002: Impulso por parte de la abogacía a la "firma digital"
    http://www.hispasec.com/unaaldia/1201

    07/02/2001: Parche contra escalada de privilegios en Windows 2000
    http://www.hispasec.com/unaaldia/836

    07/02/2000: Importante agujero en la Máquina Virtual Java de Microsoft
    http://www.hispasec.com/unaaldia/468

    07/02/1999: Nuevo ataque vírico a la gama Office
    http://www.hispasec.com/unaaldia/103


    -------------------------------------------------------------------
    Claves PGP en http://www.hispasec.com/directorio/hispasec
    -------------------------------------------------------------------
    Bajas: mailto:unaaldia-request@hispasec.com?subject=unsubscribe
    Altas: mailto:unaaldia-request@hispasec.com?subject=subscribe
    -------------------------------------------------------------------
    (c) 2009 Hispasec http://www.hispasec.com/copyright
    -------------------------------------------------------------------

    --- SoupGate-DOS v1.05
    * Origin: Pasarela FTN-INet telnet://pucelabbs.dyndns.org:4000 (2:341/201.99)