Hola, les escribe Roberto Arbeláez.

A continuación transcribo un articulo publicado en el Blog de Security Research and Defense (http://blogs.technet.com/srd/) sobre las actualizaciones Fuera-de-Banda y el documento informativo de seguridad que publicamos hoy, Martes 28 de Julio de 2009.

Una mirada a las liberaciones Fuera-de-Banda

Hoy Liberamos  el documento informativo de seguridad Security Advisory 973882 y con él, dos boletines de seguridad fuera-de-banda. Estas actualizaciones son la  MS09-034 (una actualización de Internet Explorer) y la MS09-035 (una actualización de Visual Studio). En este momento, para los clientes que han aplicado MS09-032 no conocemos de explotaciones activas que se aprovechen de las vulnerabilidades documentadas en  973882 y MS09-035. Sin embargo, MS09-034 y MS09-035 trabajan de manera conjunta para construir más defensas contra las vulnerabilidades conocidas de ATL.

¿Por qué liberar estas actualizaciones de seguridad fuera-de-banda?

Aunque la vulnerabilidad  ha sido conocida por Microsoft hace algún tiempo, información adicional sobre estas vulnerabilidas ha venido aumentando en las últimas semanas. . Y con las conferencias de seguridad Black Hat y Def Con reuniendo a muchas personas en el mismo lugar, la curiosidad natural significa que el riesgo a los clientes aumenta a medida que se revala má sinformación. Hemos visto un ataque activo sobre una vulnerabilidad en ATL atacando la librería de controles msvidctl.dll. WAunque todos los ataques conocidos han sido bloqueados con la liberación de MS09-032, en vez de esperar a que aumente el riesgo y los ataques a vulnerabilidades de ATL, hemos decidido liberar proactivamente estas actualizaciones de seguridad para ayudar a proteger a los clientes a mitigar el riesgo de manera más controlada. Creemos que lo correcto es ayudar a proteger a los clientes con actualizaciones de seguridad Fuera-de-Banda en esta situación especial, en la cual anticipamos que el riesgo va a aumentar antes de nuestra siguiente liberación programada de actualizaciones de seguridad.

¿Por qué liberar dos boletines de seguridad diferentes?

Las dos actualizaciones de seguridad de manera conjunta hacen referencia a dos CVEs diferentes, pero son emitidos fuera-de-banda porque estan relacionados. Permitanme explicar por qué:

Los CVEs que ameritan la liberación fuera-de-banda están incluídas en el boletín de Visual Studio (MS09-035) CVE-2009-0901 y CVE-2009-2493 (actualización a los encabezados y librerías de ATL), y también se discuten en el Security Advisory 973882. Estas son las vulnerabilidades en ATL que pueden ser expuestas en varios controles y que estan siendo discutidas públicamente. Sin embargo, también hemos liberado una actualización para Internet explorer. Esta está siendo liberada para ayudar a proteger a los clientes mientras que los desarrolladores actualizan sus controles, como medidas de defensa en profundidad en Internet Explorer que previenen la explotación de todas las vulnerabilidades de ATL discutidas anteriormente. Ha otros 3 CVEs en el boletín de IE, pero no están relacionadas con los problemas de ATL. Se han incluído debido a que las actualizacones para Internet Explorer son acumulativas, y separarlas de esta liberación hubiera demorado la habilidad para liberar estas medidas de defensa-en-profundidad.

Lo importante, es que los CVEs discutidos en el boletín de Visual Studio (MS09-035) y los problemas cubiertos en el Security Advisory 973882 crean un nivel de riesgo que hacen necesarias esta liberaciones fuera-de-banda.

¿Qué son las vulnerabilidades de ATL?

Aunque  hay varias vulnerabilidades descritas en el Security Advisory 973882 y en MS09-035 la vulnerabilidad que creemos va a ser más discutida es una vulnerabilidad de ATL que permite la instanciación de objetos COM, a pesar de que se realiza una validación de seguridad de killbits. Como muchos de nuestros lectores recordarán de las anteriores publicaciones relacionadas con killbits, los killbits son mecanismos útiles para bloquear (impedir) el uso de controles vulnerables. Nuestro más reciente uso de los killbits fué para bloquear (impedir) la carga de MSVidCtl.dll en Internet Explorer, lo cual se hizo en el boletín de seguridad MS09-032. Así que la habilidad de saltarse esta importante parte de la seguridad de ActiveX  podría permitir que un atacante logre, por ejemplo, forzar que MSVidCtl.dll sea cargado en Internet Explorer. Por supuesto, un cliente necesitaría primero tener otro control vulnerable en el sistema para que este mecanismo de seguridad sea evitado, y con la actualización de seguridad para Intenret Explorer (MS09-034) hemos bloqueado las técnicas conocidas usadas por los ataques para explotar estos problemas cuando los clientes están navegando en Internet.

¿Qué hacen las dos actualizaciones?

La MS09-035, la actualización de seguridad de Visual Studio, proveen la versión actualizada pública de ATL. El equipo de Visual Studio liberó un articulo con instrucciones detalladas que los desarrolladores pueden usar para verificar si sus controles son vulnerables y los cambios que deben hacer para ayudar a asegurar sus controles.

Hemos estado trabajando con otros fabricantes de software, ayudandoles a entender el problema y preparar actualizaciones de seguridad para sus controles.  Mas información sobre esto se puede obtener en el blog de Ecostrat aqui.

También, como fué mencionado anteriormente, para ayudar a proteger a los clientes mientras los desarrolladores actualizan sus controles se está liberando una actualización de seguridad para Internet Explorer (MS09-034). Esta actualización incluye protecciones de defensa en profundidad que ayudan a mitigar la carga e instanciación de controles en IE que tengan vulnerabilidades en ATL. Dave Ross escribió mas detalles acerca de esa mitigación aqui.

Compilado de recomendaciones

Microsoft ha liberado una gran cantidad de guías hoy. A continuación un sumario, con vínculos a la información:

Recomendaciones

Primero, aplique MS09-034, la actualización de seguridad para Internet Explorer. Esta actualización va a mantenerlo a salvo de ataques que intenten aprovecharse de las vulnerabilidades de ATL (como la que se corrigió en MSVIDCTL). Segundo, si es un fabricante de software y ha desarrollado controles usando las funciones (encabezados)de ATL que son vulnerables, por favor revise la guía del equipo de Visual Studio para determinar si sus controles son vulnerables y desarollar una versión actualizada si esto es necesario.

Si usted lo desea, estamos dispuestos a incluír un killbit en nuestra siguiente actualización de seguridad. Si desea que Microsoft le ayude con esto, envie su solicitud a secure@microsoft.com.

Finalmente, envíenos cualquier pregunta (en inglés) a switech@microsoft.com.

- Jonathan Ness, MSRC Engineering