Windows, Internet Explorer, Word, Excel y FrontPage, son los productos
afectados por nuevas vulnerabilidades, la mayoría consideradas
críticas porque permiten la ejecución de código arbitrario y el
compromiso del sistema por parte de terceros.
Siguiendo su nueva política de publicación de parches, consistente
en distribuirlos conjuntamente una vez al mes, Microsoft libera cuatro
nuevos parches para corregir fallos de seguridad en su software.
A la espera de poder descubrir los beneficios de esta política en el
ámbito técnico y en la seguridad real de los usuarios, inapreciables
de momento, si parece que Microsoft está consiguiendo objetivos
mediáticos y psico-sociales: la normalización de los parches.
En octubre pudimos observar que esta política consigue disminuir
considerablemente la presión mediática, ya que como cabe esperar los
medios concentraron en una misma noticia la información sobre las
siete nuevas vulnerabilidades y sus correspondientes parches.
De haber seguido Microsoft con el sistema anterior, publicando los
avisos puntualmente de forma individual, esos mismos parches podrían
haber dado lugar a siete noticias diferentes, repartidas durante todo
el mes, hablando de problemas en el software de Microsoft. Queda
claro que la publicación conjunta de parches beneficia a la imagen
del gigante de Redmon.
Por otro lado, regularizar la publicación de parches, convirtiéndolo
en algo cotidiano, es el camino más corto para que algo extraordinario
se estabilice en la normalidad.
Un ejemplo, aunque sea como efecto colateral no buscado, lo tenemos en
la normalización de las «pantallas azules» o cuelgues de Win9x. Algo
extraordinario como es el que algo tenga algún defecto y falle, a
fuerza de repetirse, se convirtió en algo común y aceptado. A nadie le
extrañaba que de forma regular un Windows 9x se colgara, hasta los
informáticos terminamos por dar la receta «es normal, reinicia, y
listo». De hecho, lo extraordinario sería que un Win9x estuviera un
mes seguido sin tener algún incidente de este tipo.
¿Imaginan este tipo de fallos en otro sector? ¿Aceptaría que su moto
o coche, recién comprados, tuviera problemas mecánicos y le dejara
tirado de vez en cuando? Así nos va con el software, la poca exigencia
del mercado es en gran parte responsable de la baja calidad de los
productos.
Volviendo a los parches de noviembre, desde Hispasec, en nuestra línea,
dedicaremos diversos boletines a la descripción detallada de los
mismos, así como cualquier otro incidente destacable que pueda
derivarse por problemas o incompatibilidades con los mismos.
A continuación un listado de las vulnerabilidades y el software
afectado, en el apartado más información puede encontrarse las
direcciones para acceder a los avisos originales de Microsoft y la
descarga de los parches.
+ Vulnerabilidades en Internet Explorer (MS03-48):
Internet Explorer 5.01, Internet Explorer 5.5,
Internet Explorer 6, Internet Explorer 6.0 para Windows Server 2003
+ Vulnerabilidad en Workstation Service (MS03-049):
Windows 2000 Advanced Server, Windows 2000 Datacenter Server,
Windows 2000 Professional, Windows 2000 Server,
Windows XP Home Edition y Windows XP Professional
+ Vulnerabilidad en Word y Excel (MS03-050):
Excel 2002, Excel 2000, Excel 97, Word 2002, Word 2000 y Word 97
+ Vulnerabilidad en las extensiones de Front Page (MS03-051):
FrontPage Server Extensions 2002, FrontPage 2000 Server Extensions,
SharePoint Team Services 2002, Windows 2000 Advanced Server,
Windows 2000 Datacenter Server, Windows 2000 Professional,
Windows 2000 Server, Windows XP Home Edition y
Windows XP Professional.
bernardo@hispasec.com
Más información:
MS03-48
http://www.microsoft.com/technet/security/Bulletin/MS03-048.asp
MS03-49
http://www.microsoft.com/technet/security/Bulletin/MS03-049.asp
MS03-050
http://www.microsoft.com/technet/security/Bulletin/MS03-050.asp
MS03-51
http://www.microsoft.com/technet/security/Bulletin/MS03-051.asp
Microsoft: marketing vs. seguridad
http://www.hispasec.com/unaaldia/1814
Siete nuevas vulnerabilidades/parches de Microsoft
http://www.hispasec.com/unaaldia/1816
Fallos en los parches de Microsoft
http://www.hispasec.com/unaaldia/1825
Nuevo fallo en los parches ya revisados de Microsoft
http://www.hispasec.com/unaaldia/1832
Deja una respuesta