Como viene siendo habitual, Microsoft ha aprovechado el tercer martes de este mes para publicar sus boletines de seguridad mensuales, en este caso correspondientes a julio. En total va a lanzar seis boletines de seguridad, tres de ellos con un nivel de gravedad “crítico” y las restantes “importantes”.

Los boletines considerados críticos son estos:

• MS09-028: corrige tres vulnerabilidades en Microsoft DirectShow que podían permitir la ejecución remota de código si abríamos un archivo QuickTime manipulado específicamente. Afecta a Windows XP, 2000 y Server 2003.
• MS09-021: corrige tres vulnerabilidades en el intérprete de las fuentes EOT (Emedded OpenType), mediante las cuales un intruso podría ejecutar código arbitrario en nuestro ordenador. Afecta a Windows XP, Vista, Server 2003 y Server 2008.
• MS09-032: corrige el fallo de los kill bits de ActiveX, que podía permitir la ejecución remota de código arbitrario. Windows XP, 2000, Vista, Server 2003 y Server 2008.

Los considerados importantes:

• MS09-030: corrige un agujero de Microsoft Office Publisher que permitía la ejecución remota de código maligno.
• MS09-031: aquí la vulnerabilidad corregida corresponde a Microsoft Internet Security and Acceleration (ISA) Server 2006, que podía ser aprovechada para elevar los privilegios de un atacante en los sistemas afectados.
• MS09-033: esta actualización corrige una vulnerabiliedad en Microsoft Virtual PCC y Microsoft Virtual Server gracias a la cual un atacante podía elevar sus privilegios.

Como viene siendo habitual en la línea de actualizaciones de Microsoft, podéis acceder a ellas a través de Windows Update o consultando los boletines del gigante de Redmond, en los que se incluyen las direcciones de descarga directa a cada uno de los parches.

Lo normal es que tengamos nuestro equipo configurado para instalar automáticamente todos los boletines de seguridad. Pero si tenéis desactivada esta opción, los errores corregidos son tan importantes que la recomendación es actualizar Windows lo antes posible.

Más información: Microsoft Security Bulletin

Microsoft parece que nunca aprenderá de los errores, ya que tras la actualización del pasado martes, con la cual se suponía que todos los fallos graves de seguridad quedarían corregidos, aún han quedado fallos por corregir, los cuales pueden ser explotados por cualquier usuario malintencionado. De las 6 actualizaciones (con las cuales se corregían 9 fallos), tres reparaban fallos en Windows, mientras que las otras 3 eran para Publisher, Internet Security y Acceleration Server. Pero Microsoft ha olvidado la vulnerabilidad de en los controles ActiveX, cuyo exploit se hizo público el lunes y el cual puede afectar a cualquier usuario.

Todavía no se sabe si Microsoft publicará un parche para esta vulnerabilidad o tendremos que esperar hasta dentro de un mes para ver si deciden publicar una solución a un problema que debería resolverse cuanto antes, dado su caracter crítico. Mientras tanto, es aconsejable limitar el uso de cualquier elemento ActiveX, para evitar cualquier problema en nuestros equipos.
Fuente: ComputerWorld

Google ha empezado con la distribución de su nuevo software expresamente indicado para los programadores web que quieran desarrollar aplicaciones que puedan ejecutarse directamente desde el escritorio (sin tener que hacer uso del navegador) y mucho más potentes que las que se habían podido producir hasta la fecha. Native Client es un programa multisistema y de código abierto, es decir que cualquier desarrollador podrá utilizar este sistema en cualquier sistema operativo ya siendo posible la descarga desde la web oficial.

El motivo por el cual, según Google, se está desarrollando este software es porque actualmente los ordenadores sólo utilizan una mínima parte de sus recursos en las aplicaciones web dado que los códigos que se utilizaban para el desarrollo de estas no permitía programar aplicaciones mas potentes. Con este nuevo sistema se podrán diseñar programas que sirvan para que, por ejemplo, dos músicos que se encuentren a miles de kilómetros puedan estar trabajando en el mismo entorno, y a tiempo real, en la misma canción.

Dado que se trata de un primer lanzamiento no disponemos de más información, así que según vayamos averiguando más detalles iremos informando en el blog.