Microsoft publicará doce boletines de seguridad el próximo martes

Microsoft ha anunciado que en esta ocasión se esperan doce boletines de seguridad, ocho dedicados a su sistema operativo Windows y cuatro a Office (uno de ellos compartido entre amos).

Si en enero fueron dos boletines de seguridad que salieron a la luz, este mes Microsoft prevé publicar doce actualizaciones el día doce de febrero. Siete alcanzan la categoría de “críticas” (ejecución remota de código) y otros cinco son calificados como “importantes”.

Adicionalmente, y como viene siendo habitual, Microsoft publicará una actualización para Microsoft Windows Malicious Software Removal Tool. Además, se publicarán siete actualizaciones de alta prioridad no relacionadas con la seguridad.

Entre tanta vulnerabilidad, no queda títere con cabeza. De forma muy genérica, Microsoft anuncia que los fallos calificados de críticos afectan a Windows, Office, Works, Visual Basic, VBScript, Jscript, Internet Explorer… y las importantes están relacionadas con una denegación de servicio en el Directorio Activo y elevación de privilegios y ejecución remota de código en IIS, entre otras.

Esta macro-actualización viene (como viene siendo habitual) después de un mes de relativa calma (enero), que se saldó con dos actualizaciones. Doce boletines es uno de los números más altos que ha manejado mensualmente Microsoft. Se alcanzó esta misma cifra en las actualizaciones de febrero de 2007 y en junio y agosto de 2006 (un verano especialmente plagado de fallos de seguridad). Además, cada boletín puede agrupar un número indeterminado de vulnerabilidades.

Sorprende, (y preocupa) especialmente la ejecución remota de código en Internet Information Server (IIS), el servidor web de Microsoft. Al contrario que la versión 5, la versión 6 de IIS (disponible desde Windows 2003), se ha ganado una buena reputación con respecto a la seguridad, con sólo tres vulnerabilidades de gravedad media en toda su historia. Al menos, se supone que su impacto en el caso de ejecución de código sería reducido, puesto que IIS se ejecuta bajo la cuenta de “servicios de red” (NetworkServices).

Los “usuarios” especiales de sistema NetworkServices y LocalService fueron introducidos con XP para la ejecución de muchos servicios de red, y tienen pocos privilegios sobre el resto del sistema operativo. Por el contrario, en Windows 2000, todos los servicios se ejecutan bajo la cuenta SYSTEM, algo que se corrigió en 2003 y XP con la introducción de esas cuentas restringidas. Fue un importante avance con respecto a la seguridad, rebajando los privilegios de los servicios que daban “la cara” a la red. Siguiendo la filosofía fallida anterior (previa a XP), IIS 5 se ejecutaba bajo la cuenta SYSTEM, con total control del sistema. Una potencial vulnerabilidad que derivase en ejecución de código era entonces fatal para el resto del sistema operativo. Hoy en día, en IIS 6 una ejecución de código con permisos de NetworkServices puede al menos no considerarse absolutamente crítica.