-
Hispasec - una-al-día 24/10/2003
Todos los días una noticia de seguridad www.hispasec.com
-
Fallos en los parches de Microsoft
-
El conjunto de actualizaciones para Windows y Exchange que Microsoft
distribuyó el pasado 15 de octubre presentan problemas e incompatibilidades
en diversos sistemas. Se confirman que se encuentran afectados al menos dos
de los parches en sus versiones para diversos idiomas, entre otros, español,
portugués, italiano, brasileño o ruso. Microsoft solicita la instalación de
nuevos parches para corregir los problemas de los anteriores.
Microsoft ha confirmado los problemas detectados en versiones "extranjeras"
de sus parches, y proporciona una actualización de los mismos para resolver
ciertas incompatibilidades y deficiencias.
A efectos prácticos estos problemas se traducen en sistemas que se bloquean
o continúan siendo vulnerables tras instalar las actualizaciones.
En concreto, se encuentra afectada la actualización correspondiente al
boletín MS03-045, que corregía un desbordamiento de buffer explotable en los
controles ListBox y ComboBox. Pueden presentar problemas con software de
terceros los sistemas Windows 2000 con Service Pack 4 que hayan instalado
esta actualización en algunos de los siguientes
lenguajes: brasileño, checo, danés, español, finlandés, húngaro, italiano,
noruego, polaco, portugués, ruso, sueco y turco.
El nuevo parche puede descargarse desde la dirección
http://www.microsoft.com/downloads/...laylang=es
Por otro lado la actualización correspondiente al boletín MS03-047, que
corregía una vulnerabilidad del tipo XSS (Cross-Site Scripting) en Exchange
Server 5.5 Outlook Web Access, era efectiva únicamente para los idiomas
inglés, alemán, francés y japonés. El resto de versiones se encuentran
vulnerables y tendrán, por tanto, que instalar el nuevo parche para esta
vulnerabilidad revisado a posteriori.
Se echa en falta por parte de Microsoft información más clara sobre estos
problemas, ya que quitando la fecha de revisión del boletín que aparece al
comienzo del mismo, los detalles de las versiones y lenguajes afectados no
se detallan hasta llegar a la sección de FAQ.
Por no citar las versiones web de los boletines de Microsoft España, que a
día de hoy permanecen con el aviso original del día 15 y no recogen nada
sobre los problemas detallados, pese a que afecta de lleno a los usuarios
españoles.
No es de extrañar que a la hora de instalar servidores y puestos críticos se
elijan versiones en inglés, ya que suelen tener un trato preferente en lo
que respecta a actualizaciones y documentación.
En definitiva, todo un despropósito para la primera actualización mensual de
Microsoft, que enmarca dentro de su nueva política que justificaba por la
necesidad de que los usuarios no tuvieran que estar continuamente instalando
parches.
Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/1825/comentar
Más información:
Microsoft Security Bulletin MS03-045
http://www.microsoft.com/technet/se...03-045.asp
Microsoft Security Bulletin MS03-047
http://www.microsoft.com/technet/se...03-047.asp
Bernardo Quintero
bernardo@hispasec.com
Leer las respuestas