Microsoft distribuye en el mismo día los avisos correspondientes a
siete nuevas vulnerabilidades, cinco de ellas consideradas críticas.
Comienza de esta forma su nueva política de distribución de parches
que, públicamente, persigue simplificar la tarea a los usuarios.
Tal y como adelantábamos hace apenas unos días en Hispasec, en la
noticia «Microsoft: marketing vs. seguridad», el gigante de Redmon
ha decidido distribuir de forma conjunta todos los parches una vez
al mes, en vez de hacerlo paulatinamente según se van desarrollando.
De entrada, como ya comentamos, esta nueva política supone un aumento
en la ventana de tiempo en la que los sistemas se encuentran
vulnerables, entre que se detecta el agujero de seguridad y se
dispone del parche.
Microsoft justifica esta iniciativa amparándose en que facilitará
la labor a los usuarios, ya que la publicación de los parches será
más previsible y permitirá planificar mejor su implantación, además
de que anuncia mejoras en el empaquetado de las actualizaciones y
la información que proporciona sobre las mismas.
La verdad es que Microsoft podría publicar actualizaciones y
resúmenes mensuales sin necesidad de renunciar a la publicación
puntual de los parches, de forma que obtendría las ventajas de
ambas políticas, que de ningún modo son excluyentes.
En una próxima entrega de «una-al-día» analizaremos con detalle los
pros y contras de esta nueva política, así como otros objetivos
ocultos que podrían estar detrás de esta decisión.
En lo que respecta a las vulnerabilidades del presente conjunto de
actualizaciones, además de los boletines individuales, Microsoft
publica dos avisos resumen. El primero contiene un listado de cinco
vulnerabilidades que afectan a Windows, mientras que el segundo
engloba dos vulnerabilidades de los servidores Exchange.
Microsoft Windows Security Bulletin Summary for October, 2003
http://www.microsoft.com/technet/security/bulletin/winoct03.asp
Microsoft Exchange Server Security Bulletin Summary for October, 2003
http://www.microsoft.com/technet/security/bulletin/excoct03.asp
En el caso de Windows todas sus versiones, Me, NT, 2000, XP y
2003, se encuentran afectadas por una o varias de las
vulnerabilidades, 4 de ellas consideradas críticas ya que permiten
la ejecución de código arbitrario, mientras que la última facilita
la escalada de privilegios local.
En el segundo grupo, la primera vulnerabilidad también se considera
crítica por permitir la ejecución de código arbitrario y afecta a
Exchange en sus versiones 5.5 y 2000, mientras que la segunda
vulnerabilidad es del tipo Cross-Site Scripting (XSS) y se
localiza únicamente en Exchange 5.5.
Dada la importancia de las vulnerabilidades, Hispasec dedicará
próximas entregas a describir con más detalle cada una de las
actualizaciones, en nuestra línea habitual. Recomendamos a los
usuarios utilicen el servicio Windows Update para parchear sus
sistemas de forma transparente, tal y como hacían hasta ahora.
bernardo@hispasec.com
Más información:
13/10/2003 – Microsoft: marketing vs. seguridad
http://www.hispasec.com/unaaldia/1814
Revamping the Security Bulletin Release Process
http://www.microsoft.com/technet/security/bulletin/revsbwp.asp
Microsoft Windows Security Bulletin Summary for October, 2003
http://www.microsoft.com/technet/security/bulletin/winoct03.asp
Microsoft Exchange Server Security Bulletin Summary for October, 2003
http://www.microsoft.com/technet/security/bulletin/excoct03.asp
Vulnerability in Authenticode Verification Could Allow Remote Code Execution
http://www.microsoft.com/technet/security/bulletin/MS03-041.asp
Buffer Overflow in Windows Troubleshooter ActiveX Control Could Allow Code
Execution
http://www.microsoft.com/technet/security/bulletin/MS03-042.asp
Buffer Overrun in Messenger Service Could Allow Code Execution
http://www.microsoft.com/technet/security/bulletin/MS03-043.asp
Buffer Overrun in Windows Help and Support Center Could Lead to System
Compromise
http://www.microsoft.com/technet/security/bulletin/MS03-044.asp
Buffer Overrun in the ListBox and in the ComboBox Control Could Allow Code
Execution
http://www.microsoft.com/technet/security/bulletin/MS03-045.asp
Vulnerability in Exchange Server Could Allow Arbitrary Code Execution
http://www.microsoft.com/technet/security/bulletin/MS03-046.asp
Vulnerability in Exchange Server 5.5 Outlook Web Access Could Allow
Cross-Site Scripting Attack
http://www.microsoft.com/technet/security/bulletin/MS03-047.asp
Deja una respuesta