domingo, 18 de noviembre de 2001

¿Seguridad con Microsoft? (II)

Hace unos días contábamos como Microsoft tuvo que retirar el parche
para Windows ME destinado a corregir una vulnerabilidad en el servicio
UPnP (Universal Plug and Play). La buena noticia es que ya está
disponible la actualización libre de errores, la mala es que, como
de costumbre, el mundo hispano tendrá que esperar.
Como decíamos, el 1 de noviembre Microsoft publicaba un boletín donde
se describía y facilitaba un parche destinado a corregir una
vulnerabilidad en el servicio UPnP (Universal Plug and Play) que
afecta a Windows 98, ME y XP. Los usuarios de Windows ME que
instalaron el parche pasaron de la remota posibilidad de sufrir un
ataque DoS a poder tener continuos problemas a nivel de sistema.
Tras las primeras quejas Microsoft retiró el parche para Windows ME,
actualización que ha corregido y publicado el 13 de noviembre tal y
como queda reflejado en el mismo boletín.

Si bien, en dicho boletín, se ofrece como único enlace la dirección
del nuevo parche en su versión inglés-USA, y señala que están
disponibles las versiones en alemán y japonés que se pueden encontrar
en un segundo artículo que trata la vulnerabilidad. El mundo hispano
deberá esperar, Microsoft anuncia que el soporte al resto de idiomas
está en desarrollo y se podrá descargar próximamente en
WindowsUpdate.

No se trata de un hecho aislado. Los administradores de servidores
Windows NT/2000 en su versión española han sufrido en muchas
ocasiones el retraso en la publicación de actualizaciones críticas
respecto al resto de versiones. Los programadores que instalaran
Visual Studio en Windows versión española se habrán visto obligados
a migrar el sistema operativo a la versión en inglés si quieren
instalar algún Service Pack para sus herramientas de desarrollo.
Los usuarios domésticos no son ninguna excepción, a diario recibimos
consultas tipo "¿y el parche para la versión en español de Internet
Explorer?".

A juzgar por las últimas actualizaciones globales y específicas no
debemos esperar mucho, en realidad parece que Microsoft presenta en
los últimos tiempos mejoría en este aspecto. El Service Pack 2 para
Internet Explorer 5.5 versión en español tuvo un retraso de sólo 10
días respecto a la versión USA, mientras que el Service Pack 1 para
SQL Server 2000 apenas los separó 3 días, todo un récord en
comparación con las semanas, incluso meses, de tiempos atrás.

De todas formas preferimos que algún día Microsoft tome medidas para
garantizar la igualdad de condiciones y terminar de una vez por
todas con esta discriminación, sobre todo cuando de ello depende la
seguridad de nuestros sistemas.



Bernardo Quintero
bernardo@hispasec.com


Más información:

¿Seguridad con Microsoft?
http://www.hispasec.com/unaaldia.asp?id=1115

Microsoft Security Bulletin MS01-054
Invalid Universal Plug and Play Request can Disrupt System Operation
http://www.microsoft.com/technet/security/bulletin/MS01-054.asp