Fallos en los parches de Microsoft

24/10/2003 - 23:36 por Waldín | Informe spam
-

Hispasec - una-al-día 24/10/2003

Todos los días una noticia de seguridad www.hispasec.com

-


Fallos en los parches de Microsoft

-

El conjunto de actualizaciones para Windows y Exchange que Microsoft
distribuyó el pasado 15 de octubre presentan problemas e incompatibilidades
en diversos sistemas. Se confirman que se encuentran afectados al menos dos
de los parches en sus versiones para diversos idiomas, entre otros, español,
portugués, italiano, brasileño o ruso. Microsoft solicita la instalación de
nuevos parches para corregir los problemas de los anteriores.

Microsoft ha confirmado los problemas detectados en versiones "extranjeras"
de sus parches, y proporciona una actualización de los mismos para resolver
ciertas incompatibilidades y deficiencias.

A efectos prácticos estos problemas se traducen en sistemas que se bloquean
o continúan siendo vulnerables tras instalar las actualizaciones.

En concreto, se encuentra afectada la actualización correspondiente al
boletín MS03-045, que corregía un desbordamiento de buffer explotable en los
controles ListBox y ComboBox. Pueden presentar problemas con software de
terceros los sistemas Windows 2000 con Service Pack 4 que hayan instalado
esta actualización en algunos de los siguientes

lenguajes: brasileño, checo, danés, español, finlandés, húngaro, italiano,
noruego, polaco, portugués, ruso, sueco y turco.

El nuevo parche puede descargarse desde la dirección
http://www.microsoft.com/downloads/...laylang=es

Por otro lado la actualización correspondiente al boletín MS03-047, que
corregía una vulnerabilidad del tipo XSS (Cross-Site Scripting) en Exchange
Server 5.5 Outlook Web Access, era efectiva únicamente para los idiomas
inglés, alemán, francés y japonés. El resto de versiones se encuentran
vulnerables y tendrán, por tanto, que instalar el nuevo parche para esta
vulnerabilidad revisado a posteriori.

Se echa en falta por parte de Microsoft información más clara sobre estos
problemas, ya que quitando la fecha de revisión del boletín que aparece al
comienzo del mismo, los detalles de las versiones y lenguajes afectados no
se detallan hasta llegar a la sección de FAQ.

Por no citar las versiones web de los boletines de Microsoft España, que a
día de hoy permanecen con el aviso original del día 15 y no recogen nada
sobre los problemas detallados, pese a que afecta de lleno a los usuarios
españoles.

No es de extrañar que a la hora de instalar servidores y puestos críticos se
elijan versiones en inglés, ya que suelen tener un trato preferente en lo
que respecta a actualizaciones y documentación.

En definitiva, todo un despropósito para la primera actualización mensual de
Microsoft, que enmarca dentro de su nueva política que justificaba por la
necesidad de que los usuarios no tuvieran que estar continuamente instalando
parches.

Opina sobre esta noticia:

http://www.hispasec.com/unaaldia/1825/comentar

Más información:

Microsoft Security Bulletin MS03-045

http://www.microsoft.com/technet/se...03-045.asp

Microsoft Security Bulletin MS03-047

http://www.microsoft.com/technet/se...03-047.asp



Bernardo Quintero

bernardo@hispasec.com
 

Leer las respuestas

#1 Raúl Carbonari \(Ar\)
25/10/2003 - 00:12 | Informe spam
Hola Waldin, he sido víctima de estos parches y la verdad es que MS no tiene
toda la culpa (o si?). Creo recordar con claridad que para las corporaciones
en general e incluyendo las que usen SUS, MS recomienda un 'laboratorio de
pruebas' antes de liberar los parches para instalación masiva. Si por no
fallar normalmente caemos en la torpeza de liberar inmediatamente los
parches estamos corriendo riesgos. Normalmente instalo los SP sin la copia
de seguridad y una vez que decidí lo contrario me salvo la vida... MS suele
dar opciones, la elección es nuesta.
Más alla de esto, voy a seguir con mi caballito de batalla: espero que la
proxima versión del S.O. madure, el código de programas por un lado y los
recursos lingüisticos por otro. El MUI es un avance, pero le falta, le falta
rato...
Saludos
Raúl Carbonari
Argentina

He sido
"Waldín" escribió en el mensaje
news:
-

Hispasec - una-al-día 24/10/2003

Todos los días una noticia de seguridad www.hispasec.com

-


Fallos en los parches de Microsoft

-

El conjunto de actualizaciones para Windows y Exchange que Microsoft
distribuyó el pasado 15 de octubre presentan problemas e


incompatibilidades
en diversos sistemas. Se confirman que se encuentran afectados al menos


dos
de los parches en sus versiones para diversos idiomas, entre otros,


español,
portugués, italiano, brasileño o ruso. Microsoft solicita la instalación


de
nuevos parches para corregir los problemas de los anteriores.

Microsoft ha confirmado los problemas detectados en versiones


"extranjeras"
de sus parches, y proporciona una actualización de los mismos para


resolver
ciertas incompatibilidades y deficiencias.

A efectos prácticos estos problemas se traducen en sistemas que se


bloquean
o continúan siendo vulnerables tras instalar las actualizaciones.

En concreto, se encuentra afectada la actualización correspondiente al
boletín MS03-045, que corregía un desbordamiento de buffer explotable en


los
controles ListBox y ComboBox. Pueden presentar problemas con software de
terceros los sistemas Windows 2000 con Service Pack 4 que hayan instalado
esta actualización en algunos de los siguientes

lenguajes: brasileño, checo, danés, español, finlandés, húngaro, italiano,
noruego, polaco, portugués, ruso, sueco y turco.

El nuevo parche puede descargarse desde la dirección



http://www.microsoft.com/downloads/...laylang=es

Por otro lado la actualización correspondiente al boletín MS03-047, que
corregía una vulnerabilidad del tipo XSS (Cross-Site Scripting) en


Exchange
Server 5.5 Outlook Web Access, era efectiva únicamente para los idiomas
inglés, alemán, francés y japonés. El resto de versiones se encuentran
vulnerables y tendrán, por tanto, que instalar el nuevo parche para esta
vulnerabilidad revisado a posteriori.

Se echa en falta por parte de Microsoft información más clara sobre estos
problemas, ya que quitando la fecha de revisión del boletín que aparece al
comienzo del mismo, los detalles de las versiones y lenguajes afectados no
se detallan hasta llegar a la sección de FAQ.

Por no citar las versiones web de los boletines de Microsoft España, que a
día de hoy permanecen con el aviso original del día 15 y no recogen nada
sobre los problemas detallados, pese a que afecta de lleno a los usuarios
españoles.

No es de extrañar que a la hora de instalar servidores y puestos críticos


se
elijan versiones en inglés, ya que suelen tener un trato preferente en lo
que respecta a actualizaciones y documentación.

En definitiva, todo un despropósito para la primera actualización mensual


de
Microsoft, que enmarca dentro de su nueva política que justificaba por la
necesidad de que los usuarios no tuvieran que estar continuamente


instalando
parches.

Opina sobre esta noticia:

http://www.hispasec.com/unaaldia/1825/comentar

Más información:

Microsoft Security Bulletin MS03-045

http://www.microsoft.com/technet/se...03-045.asp

Microsoft Security Bulletin MS03-047

http://www.microsoft.com/technet/se...03-047.asp



Bernardo Quintero






Preguntas similares