Microsoft ha confirmado los problemas detectados en versiones «extranjeras» de sus parches, y proporciona una actualización de los mismos para resolver ciertas incompatibilidades y deficiencias. A efectos prácticos estos problemas se traducen en sistemas que se bloquean o continúan siendo vulnerables tras instalar las actualizaciones.
En concreto, se encuentra afectada la actualización correspondiente al boletín MS03-045, que corregía un desbordamiento de buffer explotable en los controles ListBox y ComboBox. Pueden presentar problemas con software de terceros los sistemas Windows 2000 con Service Pack 4 que hayan instalado esta actualización en algunos de los siguientes lenguajes: brasileño, checo, danés, español, finlandés, húngaro, italiano, noruego, polaco, portugués, ruso, sueco y turco.
El nuevo parche puede descargarse desde la dirección
http://www.microsoft.com/downloads/details.aspx?FamilyId=379F234D-CE7E-4897-8D29-0764997F1E42&displaylang=es
Por otro lado la actualización correspondiente al boletín MS03-047, que corregía una vulnerabilidad del tipo XSS (Cross-Site Scripting) en Exchange Server 5.5 Outlook Web Access, era efectiva únicamente para los idiomas inglés, alemán, francés y japonés. El resto de versiones se encuentran vulnerables y tendrán, por tanto, que instalar el nuevo parche para esta vulnerabilidad revisado a posteriori.
Se echa en falta por parte de Microsoft información más clara sobre estos problemas, ya que quitando la fecha de revisión del boletín que aparece al comienzo del mismo, los detalles de las versiones y lenguajes afectados no se detallan hasta llegar a la sección de FAQ. Por no citar las versiones web de los boletines de Microsoft España, que a día de hoy permanecen con el aviso original del día 15 y no recogen nada sobre los problemas detallados, pese a que afecta de lleno a los usuarios españoles.
No es de extrañar que a la hora de instalar servidores y puestos críticos se elijan versiones en inglés, ya que suelen tener un trato preferente en lo que respecta a actualizaciones y documentación.
En definitiva, todo un despropósito para la primera actualización mensual de Microsoft, que enmarca dentro de su nueva política que justificaba por la necesidad de que los usuarios no tuvieran que estar continuamente instalando parches.
Más información:
Microsoft Security Bulletin MS03-045
http://www.microsoft.com/technet/security/bulletin/MS03-045.asp
Microsoft Security Bulletin MS03-047
http://www.microsoft.com/technet/security/bulletin/MS03-047.asp
Bernardo Quintero
bernardo@hispasec.com
Noticias Hispasec
