Hola, escribe Christian Linacre,

hemos publicado una Notificación Avanzada para la liberación de un dos boletines de seguridad fuera de banda, es decir, fuera de la programación habitual. Estamos planificando realizar esta publicación el Martes 28 de Julio a las 10:00 AM PST (Hora del Pacífico).

Aunque estaremos realizando una liberación, esta incluirá dos boletines de seguridad separados donde ambos requieren reinicio:

1. Uno para Visual Studio - Moderada
2. Uno para Internet Explorer - Crítica

Aunque no podemos dar detalles antes de la liberación de los boletines; el relacionado con Visual Studio corregirá un problema que puede afectar a ciertas aplicaciones. El boletín para Internet Explorer proveerá cambios de estrategia de defensa en profundidad para Internet Explorer para agregar protecciones adicionales para los problemas corregidos en el boletín de Visual Studio. Adicionalmente, el boletín de Internet Explorer corregirá vulnerabilidades clasificadas como Crítica.

Los clientes que tengan sus actualizaciones de seguridad al día están protegidos de los ataques conocidos relacionados con esta liberación fuera de banda.

El Centro de Respuesta a Incidentes de Microsoft (MSRC) estará realizando dos webcasts para resolver las dudas que ten

• Webcast: 28 de Julio 28, 2009 1:00 p.m. PST
• Repetición Webcast: July 28, 2009 4:00 p.m. Pacific Time

Les pido, por favor, tomen las medidas del caso para atender este tema.

Gracias, Christian Linacre.-

**Esto se publica “como está” sin garantías y no confiere derechos**

Hola Todos, les escribe Roberto Arbeláez para invitarles al webcast de presentación de los Boletines de Seguridad emitidos Fuera-de-Banda el dia de hoy, Martes 28 de Julio.

El webcast lo estaremos haciendo el dia Jueves, 30 de Julio, a las 9:00 AM CST (Hora de Colombia y Mexico).

A continuación, los detalles para que puedan asistir:

Roberto Arbelaez has invited you to attend an online meeting using

Microsoft Office Live Meeting.

https://www.livemeeting.com/cc/microsoft/join?id=JD47NM&role=attend&pw=12345

Meeting time: Jul 30, 2009 9:00 AM (CDT)

Add to my Outlook Calendar:

https://www.livemeeting.com/cc/microsoft/meetingICS?id=JD47NM&role=attend&pw=12345&i=i.ics

AUDIO INFORMATION

-Computer Audio(Recommended)

To use computer audio, you need speakers and microphone, or a

headset.

FIRST-TIME USERS

To save time before the meeting, check your system to make sure it is

ready to use Microsoft Office Live Meeting.

http://go.microsoft.com/fwlink/?LinkId=90703

TROUBLESHOOTING

Unable to join the meeting? Follow these steps:

1. Copy this address and paste it into your web browser:

https://www.livemeeting.com/cc/microsoft/join

2. Copy and paste the required information:

Meeting ID: JD47NM

Entry Code: 12345

Location: https://www.livemeeting.com/cc/microsoft

If you still cannot enter the meeting, contact support:

http://r.office.microsoft.com/r/rlidLiveMeeting?p1=12&p2=en_US&p3=LMInfo&p4=support

NOTICE

Microsoft Office Live Meeting can be used to record meetings.

By participating in this meeting, you agree that your communications

may be monitored or recorded at any time during the meeting.

Hola, les escribe Roberto Arbeláez.

A continuación transcribo un articulo publicado en el Blog de Security Research and Defense (http://blogs.technet.com/srd/) sobre las actualizaciones Fuera-de-Banda y el documento informativo de seguridad que publicamos hoy, Martes 28 de Julio de 2009.

Una mirada a las liberaciones Fuera-de-Banda

Hoy Liberamos  el documento informativo de seguridad Security Advisory 973882 y con él, dos boletines de seguridad fuera-de-banda. Estas actualizaciones son la  MS09-034 (una actualización de Internet Explorer) y la MS09-035 (una actualización de Visual Studio). En este momento, para los clientes que han aplicado MS09-032 no conocemos de explotaciones activas que se aprovechen de las vulnerabilidades documentadas en  973882 y MS09-035. Sin embargo, MS09-034 y MS09-035 trabajan de manera conjunta para construir más defensas contra las vulnerabilidades conocidas de ATL.

¿Por qué liberar estas actualizaciones de seguridad fuera-de-banda?

Aunque la vulnerabilidad  ha sido conocida por Microsoft hace algún tiempo, información adicional sobre estas vulnerabilidas ha venido aumentando en las últimas semanas. . Y con las conferencias de seguridad Black Hat y Def Con reuniendo a muchas personas en el mismo lugar, la curiosidad natural significa que el riesgo a los clientes aumenta a medida que se revala má sinformación. Hemos visto un ataque activo sobre una vulnerabilidad en ATL atacando la librería de controles msvidctl.dll. WAunque todos los ataques conocidos han sido bloqueados con la liberación de MS09-032, en vez de esperar a que aumente el riesgo y los ataques a vulnerabilidades de ATL, hemos decidido liberar proactivamente estas actualizaciones de seguridad para ayudar a proteger a los clientes a mitigar el riesgo de manera más controlada. Creemos que lo correcto es ayudar a proteger a los clientes con actualizaciones de seguridad Fuera-de-Banda en esta situación especial, en la cual anticipamos que el riesgo va a aumentar antes de nuestra siguiente liberación programada de actualizaciones de seguridad.

¿Por qué liberar dos boletines de seguridad diferentes?

Las dos actualizaciones de seguridad de manera conjunta hacen referencia a dos CVEs diferentes, pero son emitidos fuera-de-banda porque estan relacionados. Permitanme explicar por qué:

Los CVEs que ameritan la liberación fuera-de-banda están incluídas en el boletín de Visual Studio (MS09-035) CVE-2009-0901 y CVE-2009-2493 (actualización a los encabezados y librerías de ATL), y también se discuten en el Security Advisory 973882. Estas son las vulnerabilidades en ATL que pueden ser expuestas en varios controles y que estan siendo discutidas públicamente. Sin embargo, también hemos liberado una actualización para Internet explorer. Esta está siendo liberada para ayudar a proteger a los clientes mientras que los desarrolladores actualizan sus controles, como medidas de defensa en profundidad en Internet Explorer que previenen la explotación de todas las vulnerabilidades de ATL discutidas anteriormente. Ha otros 3 CVEs en el boletín de IE, pero no están relacionadas con los problemas de ATL. Se han incluído debido a que las actualizacones para Internet Explorer son acumulativas, y separarlas de esta liberación hubiera demorado la habilidad para liberar estas medidas de defensa-en-profundidad.

Lo importante, es que los CVEs discutidos en el boletín de Visual Studio (MS09-035) y los problemas cubiertos en el Security Advisory 973882 crean un nivel de riesgo que hacen necesarias esta liberaciones fuera-de-banda.

¿Qué son las vulnerabilidades de ATL?

Aunque  hay varias vulnerabilidades descritas en el Security Advisory 973882 y en MS09-035 la vulnerabilidad que creemos va a ser más discutida es una vulnerabilidad de ATL que permite la instanciación de objetos COM, a pesar de que se realiza una validación de seguridad de killbits. Como muchos de nuestros lectores recordarán de las anteriores publicaciones relacionadas con killbits, los killbits son mecanismos útiles para bloquear (impedir) el uso de controles vulnerables. Nuestro más reciente uso de los killbits fué para bloquear (impedir) la carga de MSVidCtl.dll en Internet Explorer, lo cual se hizo en el boletín de seguridad MS09-032. Así que la habilidad de saltarse esta importante parte de la seguridad de ActiveX  podría permitir que un atacante logre, por ejemplo, forzar que MSVidCtl.dll sea cargado en Internet Explorer. Por supuesto, un cliente necesitaría primero tener otro control vulnerable en el sistema para que este mecanismo de seguridad sea evitado, y con la actualización de seguridad para Intenret Explorer (MS09-034) hemos bloqueado las técnicas conocidas usadas por los ataques para explotar estos problemas cuando los clientes están navegando en Internet.

¿Qué hacen las dos actualizaciones?

La MS09-035, la actualización de seguridad de Visual Studio, proveen la versión actualizada pública de ATL. El equipo de Visual Studio liberó un articulo con instrucciones detalladas que los desarrolladores pueden usar para verificar si sus controles son vulnerables y los cambios que deben hacer para ayudar a asegurar sus controles.

Hemos estado trabajando con otros fabricantes de software, ayudandoles a entender el problema y preparar actualizaciones de seguridad para sus controles.  Mas información sobre esto se puede obtener en el blog de Ecostrat aqui.

También, como fué mencionado anteriormente, para ayudar a proteger a los clientes mientras los desarrolladores actualizan sus controles se está liberando una actualización de seguridad para Internet Explorer (MS09-034). Esta actualización incluye protecciones de defensa en profundidad que ayudan a mitigar la carga e instanciación de controles en IE que tengan vulnerabilidades en ATL. Dave Ross escribió mas detalles acerca de esa mitigación aqui.

Compilado de recomendaciones

Microsoft ha liberado una gran cantidad de guías hoy. A continuación un sumario, con vínculos a la información:

• MS09-034: Boletín de Internet Explorer
• MS09-035: Boletín de Visual Studio
• Documento Informativo de Seguridad - Security Advisory (KB973882)
• Artículo de recursos, y las actualizaciones de Seguridad para desarrolladores que usan las librerías Active Template (ATL)
• Blog de SRD, Información en profundidad para desarrolladores de la vulnerabilidad de ATL
• Blog de SRD, Mitigaciones de Internet Explorer para vulnerabilidades de streams de datos ATL
• Blog de SRD, MSVIDCTL (MS09-032) y la vulnerabilidad de ATL
• Blog de SRD, Una mirada a las liberaciones fuera-de-banda (este artículo)
• Blog de SDL, ATL, MS09-035 y el Ciclo de vida de Desarrollo seguro de Software (SDL)
• Blog de MSRC, Documento informativo de Seguridad y Boletines liberados
• Blog de BlueHat, La perspectiva de los investigadores de Seguridad
• Blog de EcoStrat, La complejidad de las Amenazas requiere nuevos niveles de cooperación
• Channel 9 video, "Dentro de la Actualización de Seguridad de ATL" guia en video para desarrolladores

Recomendaciones

Primero, aplique MS09-034, la actualización de seguridad para Internet Explorer. Esta actualización va a mantenerlo a salvo de ataques que intenten aprovecharse de las vulnerabilidades de ATL (como la que se corrigió en MSVIDCTL). Segundo, si es un fabricante de software y ha desarrollado controles usando las funciones (encabezados)de ATL que son vulnerables, por favor revise la guía del equipo de Visual Studio para determinar si sus controles son vulnerables y desarollar una versión actualizada si esto es necesario.

Si usted lo desea, estamos dispuestos a incluír un killbit en nuestra siguiente actualización de seguridad. Si desea que Microsoft le ayude con esto, envie su solicitud a secure@microsoft.com.

Finalmente, envíenos cualquier pregunta (en inglés) a switech@microsoft.com.

- Jonathan Ness, MSRC Engineering

Hola a todos,

escribe Christian Linacre para informarles acerca de los boletines de Seguridad de Julio de 2009.

Este mes estamos liberando 6 boletines, 3 de ellos categorizado con severidad máxima de Crítica y 3 como Importantes.

1. MS09-028 (Crítica): Vulnerabilidades en Microsoft DirectShow podrían permitir la ejecución remota de código (971633). Detalles en: http://www.microsoft.com/latam/technet/seguridad/boletines/2009/ms09-028.mspx 
2. MS09-029 (Crítica): Vulnerabilidades en el motor de fuentes OpenType incrustadas podrían permitir la ejecución remota de código (961371). Detalles en: http://www.microsoft.com/latam/technet/seguridad/boletines/2009/ms09-029.mspx
3. MS09-030 (Importante): Una vulnerabilidad en Microsoft Publisher podría permitir la ejecución remota de código (969516). Detalles en: http://www.microsoft.com/latam/technet/seguridad/boletines/2009/ms09-030.mspx
4. MS09-031 (Importante): Una vulnerabilidad en Microsoft ISA Server 2006 podría provocar la elevación de privilegios (970953). Detalles en:http://www.microsoft.com/latam/technet/seguridad/boletines/2009/ms09-031.mspx
5. MS09-032 (Crítica): Actualización de seguridad acumulativa de bits de interrupción de ActiveX (973346). Detalles en: http://www.microsoft.com/latam/technet/seguridad/boletines/2009/ms09-032.mspx
6. MS09-033 (Importante): Una vulnerabilidad en Virtual PC y Virtual Server podría permitir la elevación de privilegios (969856). Detalles en: http://www.microsoft.com/latam/technet/seguridad/boletines/2009/ms09-033.mspx

Adicionalmnte, estamos actualizando los siguientes documentos informativos:

1. Documento informativo sobre seguridad de Microsoft (973472)
   Vulnerabilidades en el control Microsoft Office Web Components podrían permitir la ejecución remota de código. Detalles en: http://www.microsoft.com/latam/technet/seguridad/alerta/973472.mspx
2. Documento informativo sobre seguridad de Microsoft (972890)
   Una vulnerabilidad en el control ActiveX Video de Microsoft podría permitir la ejecución remota de código. Detalles en:  http://www.microsoft.com/latam/technet/seguridad/alerta/972890.mspx
3. Documento informativo sobre seguridad de Microsoft (971778)
   Una vulnerabilidad en Microsoft DirectShow podría permitir la ejecución remota de código. Detalles en: http://www.microsoft.com/latam/technet/seguridad/alerta/971778.mspx

Como siempre recomendamos revisar los sistemas operativos o software afectados y evaluar las instalaciones de estas actualizaciones lo antes posible. Recuerden que tienen herramientas gratuitas para poder hacer esto:

1. Detección con MBSA (Microsoft Baseline Security Analyzer)
2. Implementación con WSUS (Windows Server Update Services)

Adicionalmente, la herramienta de remoción de software malicioso MSRT (Malicious Software Removal Tool) está siendo actualizada para poder limpiar nuevas familias de malware:

• FakeSpypro

En el caso de los usuarios hogareños que necesiten información al respecto, les recomiendo leer:

• Resumen de Julio
• Boletín MS09-007

Más información para Seguridad en el Hogar visite Microsoft Protect en español. Si usted es un usuario hogareño y tiene problemas de seguridad como virus o actualizaciones de seguridad, puede solicitar soporte gratuito a PC Segura en: http://www.microsoft.com/latam/protect/support/

Cualquier duda no dejen de poner sus comentarios aquí y si tuvieran problemas relacionados con seguridad (virus o boletines de seguridad) no dejen de contactarse con Soporte a través de http://support.microsoft.com/contactus.

Gracias, Christian.-

**Esto se publica “como está” sin garantías y no confiere derechos**

Hola, les escribe Roberto Arbeláez.

Los invito a acompañarnos el dia de mañana, a las 11:30AM GMT-05 (Hora de Colombia) a nuestra presentación mensual de boletines de seguridad. en el webcast podrán obtener información detallada sobre los 6 boletines de seguridad que publicamos en Julio, así como hacer preguntas y resolver sus dudas e inquietudes.

A continuación, la información del webcast y el link para que se inscriban:

Título:                  Security Bulletin Release Presentation - For clients and partners (In Spanish) - July

Descripción:      Security Bulletin Release Presentation for external audiences, in Spanish.

Fecha:                 Jueves 16 de julio de 2009, 11:30 am GMT -5 Bogotá.

Asistentes:        http://go.microsoft.com/?linkid=9672752