La pasada noche, Microsoft lanzó su Tuesday Patch para Febrero. Esta vez se han lanzado 7 boletines de seguridad (2 de ellos en el último momento) siendo 4 de ellos para corregir vulnerabilidades críticas en diversos productos de la compañía. Además, se lanzó la actualización a partir de la cual Windows deja de confiar en certificados firmados con MD5.

Microsoft74

 

Entre estos siete boletines de seguridad cabe destacar el hecho que dos de ellos se añadieran a última hora, ambos para corregir vulnerabilidades de ejecución de código remoto tanto en Internet Explorer como en Windows en lo que se entiende como un movimiento en el que Microsoft ha dado mayor prioridad a la seguridad del usuario final que a los protocolos de testeo internos de cada las actualizaciones, lo cual hubiera retrasado estos boletines de seguridad hasta marzo.

Como decíamos tenemos 4 boletines marcados como críticos. Tenemos el MS14-007 que corrige una vulnerabilidad de ejecución de código remoto en la API Microsoft Direct2D graphics. Esta vulnerabilidad afecta a todos los sistemas operativos a partir de Windows 7 (que fue cuando se introdujo la API). El siguiente boletín crítico es el MS14-008 que viene a solucionar una vulnerabilidad en Forefront Protection for Exchange 2010. El tercer boletín crítico es el MS14-010 que corrige hasta 23 vulnerabilidades en Internet Explorer y por último el MS14-011 que corrige una vulnerabilidad de ejecución de código remoto en Microsoft Visual Basic Scripting engine (VBS).

Juntamente con los clásicos boletines de seguridad, Microsoft también ha lanzado una actualización por la cual los sistemas operativos Windows dejarán de confiar en certificados con el algoritmo MD5 para evitar los ataques que se están produciendo modificando este tipo de certificados. Esto para el usuario de a pie se traducirá en que cualquier web por ejemplo con certificado SSL firmado con MD5 aparecerá como no confiable.

Fuente Microsoft