lunes, 29 de julio de 2002

Parche del parche para Windows Media Player

Y van dos. En apenas un mes Microsoft se ve forzada a distribuir por
segunda vez un parche que tiene como misión rectificar una
actualización anterior que se muestra defectuosa. En esta ocasión le
toca el turno a su reproductor multimedia, Windows Media Player, en
sus versiones 6.4, 7.1 y XP.

El pasado 11 de mayo Hispasec informó de una vulnerabilidad que podía
permitir la ejecución de comandos en los sistemas que utilizaran MSN
Messenger, MSN Chat y Exchange Instant Messenger. El 18 de junio
volvíamos con la noticia de que se había comprobado que el parche
original que ofrecía Microsoft para solucionar el problema no actuaba
correctamente y era necesario volver a actualizar los sistemas con un
nuevo parche.

Hoy se repite la historia. El pasado 30 de junio informábamos de
diferentes vulnerabilidades en Windows Media Player y de la
disponibilidad de un parche acumulativo para subsanar todos los
problemas conocidos hasta la fecha. Ahora Microsoft reconoce que el
parche sólo corregía las últimas vulnerabilidades descubiertas en su
reproductor multimedia, pero que no era acumulativo y por tanto no
subsanaba problemas anteriores. Como solución, nueva descarga de
parche y nueva instalación.

Según informaciones de la propia Microsoft, se les olvidó incluir un
archivo en la distribución del parche original, lo que provocó que la
actualización no incluyera todas las correcciones de forma acumulativa,
incumpliendo lo documentado en su boletín de seguridad. Ahora
empaquetan de nuevo el parche con el archivo que faltaba y vuelve a
pedir a los usuarios se actualicen de nuevo. Recomendamos a los
afectados el uso de la opción Windows Update para acceder a éstas y
otras actualizaciones.


Bernardo Quintero
bernardo@hispasec.com


Más información:

11/05/2002 - Grave problema de seguridad en MSN Chat
http://www.hispasec.com/unaaldia.asp?id=1294

18/06/2002 Microsoft rectifica el parche para la vulnerabilidad de MSN Chat
http://www.hispasec.com/unaaldia.asp?id=1332

30/06/2002 - Diferentes vulnerabilidades en Windows Media Player
http://www.hispasec.com/unaaldia.asp?id=1344

Cumulative Patch for Windows Media Player
http://www.microsoft.com/technet/security/bulletin/MS02-032.asp

19/02/2002 - Microsoft STPP, ¿estrategia tecnológica o lavado de cara?
http://www.hispasec.com/unaaldia.asp?id=1213