De entrada, como ya comentamos, esta nueva política supone un aumento en la ventana de tiempo en la que los sistemas se encuentran vulnerables, entre que se detecta el agujero de seguridad y se dispone del parche.
Microsoft justifica esta iniciativa amparándose en que facilitará la labor a los usuarios, ya que la publicación de los parches será más previsible y permitirá planificar mejor su implantación, además de que anuncia mejoras en el empaquetado de las actualizaciones y la información que proporciona sobre las mismas.
La verdad es que Microsoft podría publicar actualizaciones y resúmenes mensuales sin necesidad de renunciar a la publicación puntual de los parches, de forma que obtendría las ventajas de ambas políticas, que de ningún modo son excluyentes.
En una próxima entrega de «una-al-día» analizaremos con detalle los pros y contras de esta nueva política, así como otros objetivos ocultos que podrían estar detrás de esta decisión.
En lo que respecta a las vulnerabilidades del presente conjunto de actualizaciones, además de los boletines individuales, Microsoft publica dos avisos resumen. El primero contiene un listado de cinco vulnerabilidades que afectan a Windows, mientras que el segundo engloba dos vulnerabilidades de los servidores Exchange.
Microsoft Windows Security Bulletin Summary for October, 2003
http://www.microsoft.com/technet/security/bulletin/winoct03.asp
Microsoft Exchange Server Security Bulletin Summary for October, 2003
http://www.microsoft.com/technet/security/bulletin/excoct03.asp
En el caso de Windows todas sus versiones, Me, NT, 2000, XP y 2003, se encuentran afectadas por una o varias de las vulnerabilidades, cuatro de ellas consideradas críticas ya que permiten la ejecución de código arbitrario, mientras que la última facilita la escalada de privilegios local.
En el segundo grupo, la primera vulnerabilidad también se considera crítica por permitir la ejecución de código arbitrario y afecta a Exchange en sus versiones 5.5 y 2000, mientras que la segunda vulnerabilidad es del tipo Cross-Site Scripting (XSS) y se localiza únicamente en Exchange 5.5.
Dada la importancia de las vulnerabilidades, Hispasec dedicará próximas entregas a describir con más detalle cada una de las actualizaciones, en nuestra línea habitual. Recomendamos a los usuarios utilicen el servicio Windows Update para parchear sus sistemas de forma transparente, tal y como hacían hasta ahora.
Más información:
13/10/2003 – Microsoft: marketing vs. seguridad
http://www.hispasec.com/unaaldia/1814
Revamping the Security Bulletin Release Process
http://www.microsoft.com/technet/security/bulletin/revsbwp.asp
Microsoft Windows Security Bulletin Summary for October, 2003
http://www.microsoft.com/technet/security/bulletin/winoct03.asp
Microsoft Exchange Server Security Bulletin Summary for October, 2003
http://www.microsoft.com/technet/security/bulletin/excoct03.asp
Vulnerability in Authenticode Verification Could Allow Remote Code Execution
http://www.microsoft.com/technet/security/bulletin/MS03-041.asp
Buffer Overflow in Windows Troubleshooter ActiveX Control Could Allow Code Execution
http://www.microsoft.com/technet/security/bulletin/MS03-042.asp
Buffer Overrun in Messenger Service Could Allow Code Execution
http://www.microsoft.com/technet/security/bulletin/MS03-043.asp
Buffer Overrun in Windows Help and Support Center Could Lead to System Compromise
http://www.microsoft.com/technet/security/bulletin/MS03-044.asp
Buffer Overrun in the ListBox and in the ComboBox Control Could Allow Code Execution
http://www.microsoft.com/technet/security/bulletin/MS03-045.asp
Vulnerability in Exchange Server Could Allow Arbitrary Code Execution
http://www.microsoft.com/technet/security/bulletin/MS03-046.asp
Vulnerability in Exchange Server 5.5 Outlook Web Access Could Allow Cross-Site Scripting Attack
http://www.microsoft.com/technet/security/bulletin/MS03-047.asp
Bernardo Quintero
bernardo@hispasec.com
Noticias Hispasec
