MICROSOFT. Publicación de boletines de seguridad el martes que viene.

El próximo martes Microsoft publicará nueve boletines de seguridad (del MS14-043 al MS14-051) que corregirán múltiples vulnerabilidades en diversos sistemas. Pero además, una gran e importante novedad para Internet Explorer, que permitirá bloquear controles ActiveX anticuados, lo que incluye Java

Detalle del resumen de los boletines de seguridad

• Entre los boletines, dos han sido calificados como críticos y corrigen vulnerabilidades que pueden dar lugar a la ejecución remota de código en los sistemas operativos Windows y en Internet Explorer. Aquí es donde entra la gran novedad, Microsoft ha confirmado que su navegador bloqueará los controles ActiveX anticuados.

 Aunque esta medida no vaya a solucionar el problema de los ActiveX, Microsoft pretende ayudar a controlar la situación introduciendo en Internet Explorer una nueva característica de seguridad llamada "out-of-date ActiveX control blocking". Esto permitirá:

• Conocer cuando Internet Explorer impide a una página web cargar controles ActiveX anticuados.
• Interactuar con otras partes de la página web que no se ven afectadas por el control obsoleto.
• Actualizar el control anticuado.
• Inventariar los controles ActiveX que se usan.

Para decidir que controles bloquear, Internet Explorer emplea el archivo "versionlist.xml". Este archivo se actualizará con los controles ActiveX anticuados según se detecten. Microsoft comienza marcando las versiones anticuadas de Java, pero con el tiempo añadirá más controles a la lista.

 Esta primera actualización, pretende notificar la carga de versiones de l controles Java ActiveX:

1. J2SE 1.4, versiones inferiores a update 43
2. J2SE 5.0, versiones inferiores a update 71
3. Java SE 6, versiones inferiores a update 81
4. Java SE 7, versiones inferiores a update 65
5. Java SE 8, versiones inferiores a update 11
6. Se puede visualizar la lista completa de controles ActiveX monitorizados en http://go.microsoft.com/fwlink/?LinkId=403864

•  Para finalizar con la lista de boletines de seguridad publicados, los siete restantes son de nivel importante y solucionarán una vulnerabilidad de ejecución de código en Microsoft OneNote 2007; cuatro de elevación de privilegios en SQL Server 2008, SharePoint Server y en los sistemas operativos Windows; y por último dos problemas de evasión de características de seguridad en .Net y en los sistemas operativos Windows.

Recomendación

•  La nueva características  estará disponible para Windows 7 SP1 con Internet Explorer 8 a 11, en Windows 8 (y superior) con Internet Explorer para escritorio. 
•  Microsoft actualizará su herramienta "Microsoft Windows Malicious Software Removal Tool", disponible desde Microsoft Update, Windows Server Update Services y su centro de descargas.

Más información:

• Microsoft Security Bulletin Advance Notification for August 2014 https://technet.microsoft.com/library/security/ms14-aug
• Internet Explorer begins blocking out-of-date ActiveX controls http://blogs.msdn.com/b/ie/archive/2014/08/06/internet-explorer-begins-blocking-out-of-date-activex-controls.aspx
• Advance Notification Service for the August 2014 Security Bulletin Release http://blogs.technet.com/b/msrc/archive/2014/08/07/advance-notification-service-for-the-august-2014-security-bulletin-release.aspx

Fuente: Hispasec