Como tiene costumbre, Microsoft aprovecha el segundo martes de cada mes para lanzar las actualizaciones de seguridad para sus principales productos como Windows, Internet Explorer u Office. La compañía ha registrado uno de los meses más tranquilos desde que lleva a cabo sus actualizaciones, en contraste con los últimos meses del año pasado. Microsoft ha publicado cuatro boletines de seguridad de naturaleza importante dirigidos a sus plataformas Windows y Office. Te contamos en detalle todas las vulnerabilidades corregidas y los peligros que conllevan.
El primero de los boletines de naturaleza importante (un nivel más bajo que el boletín crítico) de nombre MS14-001 resuelve tres vulnerabilidades que han sido encontradas en la plataforma de ofimática Microsoft Office. En concreto, los agujeros afectan a todas las versiones de esta solución de ofimática y a la plataforma en red Office Web Apps. La más peligrosa de estas vulnerabilidades permitiría la ejecución remota de código en el ordenador de la víctima. Para conseguir que su ataque tuviera éxito, el cibercriminal debería conseguir que el usuario ejecutara un documento o archivo afectado en una versión de Office que ya hubiera sido vulnerada. Como suele ser habitual en estos casos, el hacker conseguiría los mismos privilegios de usuario que la víctima, así que el ataque sería más peligroso cuanto mayores sean los derechos de administrador de la cuenta en uso.
El segundo de los boletines afecta a las versiones del sistema operativo Windows XP y Windows Server 2003. El boletín MS14-002 corrige un agujero que se había hecho público y que tiene el peligro de que los cibercriminales eleven sus privilegios al nivel de las del usuario a través de una aplicación especialmente diseñada para el caso. Claro que para llegar a explotar esta vulnerabilidad los hackers deberían contar con unas credenciales de inicio de sesión válidas, algo que reduce notablemente el peligro de esta amenaza. Por cierto, debemos recordar aquí que Windows XP está cerca de dejar de recibir actualizaciones de seguridad. Su último mes en esta lista será abril.
Volviendo a las actualizaciones de seguridad, el boletín con el número MS14-003 resuelve un agujero del que se informó de manera privada a Microsoft, y que se dirige a las versiones del sistema operativo Windows 7 y Windows Server 2008 R2. La forma de aprovecharse de esta vulnerabilidad es muy similar a la del anterior agujero, ya que el cibercriminal debe contar con unas credenciales de inicio de sesión válidas y además correr una aplicación especialmente diseñada en el sistema. En caso de éxito, también podría elevar sus privilegios al mismo nivel que el del usuario.
El último de los boletines de seguridad es el MS14-004 y corrige un agujero encontrado en la solución Microsoft Dynamics AX. Esta herramienta se dirige al mercado empresarial y sirve para ayudar a la planificación de los recursos de la empresa. Un ataque exitoso podría provocar la denegación de servicio de esta plataforma, provocando una interrupción en el servicio. Los usuarios que tengan activadas las actualizaciones automáticas del sistema deberían recibir estos parches en las próximas horas. Para aquellos para los que no suceda de este modo, pueden acceder a los parches a través de Windows Update.