Fiel a la cita de los segundos martes de cada mes Microsoft publica las
actualizaciones de seguridad correspondientes, en esta ocasión, al mes
de junio. Se trata de dos boletines destinados a solucionar problemas,
considerados como moderados, en el componente DirectPlay y en el visor
web de Cristal Reports.
La primera de las actualizaciones, afecta a Windows 2000, Windows XP,
Windows Server 2003, Windows 98 y Windows Millennium Edition (Me).
Según anuncia Microsoft en el propio boletín, la actualización resuelve
una nueva vulnerabilidad, reportada de forma privada. Se trata de una
denegación de servicio en la implementación de la API IDirectPlay4 de
Microsoft DirectPlay debido a una falta de validación de paquetes
robusta.
Si un usuario ejecuta una aplicación DirectPlay en red, un atacante que
logre explotar con éxito esta vulnerabilidad podrá provocar que la
aplicación deje de funcionar. Será necesario reiniciar la aplicación
para restaurar la funcionalidad.
Las direcciones de descarga se encuentran en:
Microsoft Windows 2000
http://www.microsoft.com/downloads/details.aspx?FamilyId=DCAED052-6CE6-4709-84B3-9F1E0C182010&displaylang=en
Microsoft Windows XP
http://www.microsoft.com/downloads/details.aspx?FamilyId=1BEF9C9D-B317-4575-90E6-E89779469D37&displaylang=en
Microsoft Windows XP 64-Bit Edition Service Pack 1
http://www.microsoft.com/downloads/details.aspx?FamilyId=B99445C7-3070-4CFA-9CCE-225B92E90698&displaylang=en
Microsoft Windows XP 64-Bit Edition Version 2003
http://www.microsoft.com/downloads/details.aspx?FamilyId=F677DCD7-00D6-4DB6-A4E8-201579CC0761&displaylang=en
Microsoft Windows Server 2003
http://www.microsoft.com/downloads/details.aspx?FamilyId=EBA8BD7D-033B-460D-9088-4BFE7BE22B73&displaylang=en
Microsoft Windows Server 2003 64-Bit Edition
http://www.microsoft.com/downloads/details.aspx?FamilyId=F677DCD7-00D6-4DB6-A4E8-201579CC0761&displaylang=en
El segundo de los boletines resuelve una nueva vulnerabilidad en
Crystal Reports y Crystal Enterprise desde Business Objects. Por otra
parte, Visual Studio .NET 2003 y Outlook 2003 con Business Contact
Manager incluyen Crystal Reports y también están afectados por la
vulnerabilidad. Microsoft Business Solutions CRM 1.2 redistribuye
Crystal Enterprise, que también se ve afectado de la misma forma.
Un atacante que explote exitosamente este problema podrá recuperar y
borrar archivos a través de los visores web de Crystal Reports y
Crystal Enterprise de los sistemas afectados. El número de archivos que
pueden verse afectados dependerá del contexto de seguridad del
componente afectado que se use por el visor web de Crystal.
Las direcciones de descarga se encuentran en:
Visual Studio .NET 2003
http://www.microsoft.com/downloads/details.aspx?FamilyId=659CA40E-808D-431D-A7D3-33BC3ACE922D&displaylang=en
Outlook 2003 con Business Contact Manager
http://www.microsoft.com/downloads/details.aspx?FamilyId=9016B9F3-BA86-4A95-9D89-E120EF2E85E3&displaylang=en
Microsoft Business Solutions CRM 1.2
http://go.microsoft.com/fwlink/?LinkId=30127
antonior@hispasec.com
Más información:
Microsoft Security Bulletin MS04-016
Vulnerability in DirectPlay Could Allow Denial of Service
http://www.microsoft.com/technet/security/bulletin/MS04-016.mspx
Microsoft Security Bulletin MS04-017
Vulnerability in Crystal Reports Web Viewer Could Allow Information
Disclosure and Denial of Service
http://www.microsoft.com/technet/security/bulletin/MS04-017.mspx
Deja una respuesta