Fiel a su nueva política de publicación de parches, ayer como segundo
martes del mes de enero, Microsoft publicó el conjunto de parches
desarrollados desde su última actualización en noviembre del año
pasado. En esta ocasión los productos para los que se publican nuevas
actualizaciones son Exchange Server 2003, Microsoft ISA Server 2000 y
los componentes de acceso a base de datos MDAC.
Microsoft ha liberado tres nuevos parches para corregir fallos de
seguridad en su software. La vulnerabilidad en ISA Server 2000 se
cataloga por la propia Microsoft como crítica, el problema en MDAC
(que afecta a las versiones de MDAC incluidas en Windows 2000, XP y
Server 2003) se califica como importante mientras que la que afecta
a Exchange Server 2003 tiene un nivel de riesgo moderado.
Hay que recordar que desde el 11 de noviembre de 2003 Microsoft no ha
publicado ninguna actualización de seguridad, lo que hace dos meses
sin parches y productos sin parches. También hay que señalar que
productos como Internet Explorer cuentan con vulnerabilidades
anunciadas, probadas, y explotándose en la actualidad con grave riesgo
para los usuarios y sin que se publiquen las actualizaciones
apropiadas, ¿tendremos que esperar hasta el 10 de febrero para ver el
parche para la vulnerabilidad de falsificación de URLs en Internet
Explorer?.
Volviendo a los parches de este mes, desde Hispasec, en nuestra línea,
dedicaremos diversos boletines a la descripción detallada de los
mismos, así como cualquier otro incidente destacable que pueda
derivarse por problemas o incompatibilidades con los mismos.
A continuación un listado de las vulnerabilidades y el software
afectado, en el apartado más información puede encontrarse las
direcciones para acceder a los avisos originales de Microsoft y la
descarga de los parches.
* Vulnerabilidad en Exchange Server 2003 puede permitir la elevación
de privilegios (MS04-002)
Afecta a Microsoft Exchange Server 2003
* Desbordamiento de búfer en MDAC puede permitir la ejecución remota
de código (MS04-003)
Afecta a Microsoft Data Access Components 2.5 (incluido con
Microsoft Windows 2000), Microsoft Data Access Components 2.6
(incluido con Microsoft SQL Server 2000), Microsoft Data Access
Components 2.7 (incluido con Microsoft Windows XP) y Microsoft Data
Access Components 2.8 (incluido con Microsoft Windows Server 2003)
* Vulnerabilidad en filtro H.323 de Microsoft Internet Security and
Acceleration (ISA) Server 2000 puede permitir la ejecución remota de
código (MS04-001)
Afecta a Microsoft Internet Security and Acceleration Server 2000,
Microsoft Small Business Server 2000 (que incluye Microsoft Internet
Security and Acceleration Server 2000) y Microsoft Small Business
Server 2003 (que incluye Microsoft Internet Security and Acceleration
Server 2000).
antonior@hispasec.com
Más información:
MS04-002 : Vulnerability in Exchange Server 2003 Could Lead to
Privilege Escalation (832759)
http://www.microsoft.com/technet/security/bulletin/MS04-002.asp
MS04-001 : Vulnerability in H.323 Filter can Allow Remote Code
Execution (816458)
http://www.microsoft.com/technet/security/bulletin/MS04-001.asp
MS04-003 : Buffer Overrun in MDAC Function Could Allow code execution
(832483)
http://www.microsoft.com/technet/security/bulletin/MS04-003.asp
una-al-dia (15/12/2003) Explicaciones de Microsoft sobre su nueva
política de actualizaciones
http://www.hispasec.com/unaaldia/1877
una-al-dia (24/12/2003) Respuestas a la política de actualizaciones de
Microsoft
http://www.hispasec.com/unaaldia/1886
una-al-dia (09/12/2003) Microsoft no distribuye los parches de
diciembre
http://www.hispasec.com/unaaldia/1871
una-al-dia (11/12/2003) Falsificación de URL y ataque DoS recursivo en
Internet Explorer
http://www.hispasec.com/unaaldia/1873
una-al-dia (30/11/2003) Múltiples vulnerabilidades en Microsoft
Internet Explorer
http://www.hispasec.com/unaaldia/1862
