Y van dos. En apenas un mes Microsoft se ve forzada a distribuir por
segunda vez un parche que tiene como misión rectificar una
actualización anterior que se muestra defectuosa. En esta ocasión le
toca el turno a su reproductor multimedia, Windows Media Player, en
sus versiones 6.4, 7.1 y XP.
El pasado 11 de mayo Hispasec informó de una vulnerabilidad que podía
permitir la ejecución de comandos en los sistemas que utilizaran MSN
Messenger, MSN Chat y Exchange Instant Messenger. El 18 de junio
volvíamos con la noticia de que se había comprobado que el parche
original que ofrecía Microsoft para solucionar el problema no actuaba
correctamente y era necesario volver a actualizar los sistemas con un
nuevo parche.
Hoy se repite la historia. El pasado 30 de junio informábamos de
diferentes vulnerabilidades en Windows Media Player y de la
disponibilidad de un parche acumulativo para subsanar todos los
problemas conocidos hasta la fecha. Ahora Microsoft reconoce que el
parche sólo corregía las últimas vulnerabilidades descubiertas en su
reproductor multimedia, pero que no era acumulativo y por tanto no
subsanaba problemas anteriores. Como solución, nueva descarga de
parche y nueva instalación.
Según informaciones de la propia Microsoft, se les olvidó incluir un
archivo en la distribución del parche original, lo que provocó que la
actualización no incluyera todas las correcciones de forma acumulativa,
incumpliendo lo documentado en su boletín de seguridad. Ahora
empaquetan de nuevo el parche con el archivo que faltaba y vuelve a
pedir a los usuarios se actualicen de nuevo. Recomendamos a los
afectados el uso de la opción Windows Update para acceder a éstas y
otras actualizaciones.
bernardo@hispasec.com
Más información:
11/05/2002 – Grave problema de seguridad en MSN Chat
http://www.hispasec.com/unaaldia.asp?id=1294
18/06/2002 Microsoft rectifica el parche para la vulnerabilidad de MSN Chat
http://www.hispasec.com/unaaldia.asp?id=1332
30/06/2002 – Diferentes vulnerabilidades en Windows Media Player
http://www.hispasec.com/unaaldia.asp?id=1344
Cumulative Patch for Windows Media Player
http://www.microsoft.com/technet/security/bulletin/MS02-032.asp
19/02/2002 – Microsoft STPP, ¿estrategia tecnológica o lavado de cara?
http://www.hispasec.com/unaaldia.asp?id=1213
Deja una respuesta