|
Controlado desde el
19/10/97 por NedStat
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro
visitante número desde
el 12 de agosto de 1996
| Microsoft bajo fuego: el último parche hace lo que dice | ||
|---|---|---|
VSantivirus No. 681 - Año 6 - Domingo 19 de mayo de 2002 Microsoft bajo fuego: el último parche hace lo que dice http://www.vsantivirus.com/19-05-02.htm Por Redacción VSAntivirus vsantivirus@videosoft.net.uy Cómo expresamos en una edición anterior de VSA, existen numerosas discrepancias respecto al último parche acumulativo para el Internet Explorer. Incluso se llegó a afirmar que el parche no corrige debidamente las fallas anunciadas. Al respecto, el propio Microsoft salió al cruce de dichas demandas, y desde su centro de respuestas de seguridad (MSRC por las siglas en inglés de Microsoft Security Response Center), expone los siguientes puntos respecto a las mismas. Primero, la relacionada con la vulnerabilidad conocida como "scripting de sitios cruzados". Según afirma el boletín MS02-023 de Microsoft, esta falla puede ser utilizada por atacantes para ejecutar desde un sitio, programas en otro sitio o en la computadora del usuario afectado, ignorando la configuración de seguridad original. El ataque puede ser hecho al visitarse una página malévola, o al recibirse un e-mail con formato HTML. Sobre esto, se le reclama a Microsoft, que en el boletín se describe esta falla incorrectamente. Sin embargo, en su comunicado, el MSRC insiste en que la descripción es exacta, y solo se trata de una "discordancia en la mejor forma de describir una falla de seguridad". Para Microsoft, el boletín describe la misma en términos de los efectos potenciales para el usuario más que en las formas de explotarla. La segunda demanda afirma que el boletín informa en forma incorrecta que es necesario pulsar en un enlace de un sitio malévolo para aprovecharse de la vulnerabilidad. En este caso Microsoft admite que su afirmación estaba equivocada. Un sitio malicioso puede aprovecharse automáticamente de la falla, y así lo describe ahora en la última puesta al día del boletín. Una tercer demanda enfatiza que el parche no elimina realmente la vulnerabilidad. El MSRC es tajante en esto, aclarando que el parche realmente elimina la falla discutida en el boletín, y que el autor de la demanda, en realidad está describiendo una variante completamente nueva de la falla, la cuál nunca había sido informada anteriormente. Microsoft dice estar investigando esta nueva falla. Respecto a la segunda vulnerabilidad, la que involucra las hojas de estilo, Microsoft tiene la misma respuesta. Según ellos, el parche elimina realmente la falla descripta. Lo que ocurre es que el autor de la demanda describe una vulnerabilidad totalmente nueva, la cuál también está siendo estudiada en estos momentos por el equipo de seguridad del Internet Explorer, puesto que no había sido hecha pública antes. Conclusiones: descargue e instale el parche anunciado. Es solo un archivo de 2 megas, que corrige las fallas que asegura corregir. Y aunque no lo haga con toda las posibles variantes que programadores maliciosos puedan descubrir, es una protección que hoy día es muy aconsejable poseer. Referencias: www.microsoft.com/security Cumulative Patch for Internet Explorer (Q321232)(15/may/02) www.microsoft.com/technet/security/bulletin/MS02-023.asp Descargas directas: www.microsoft.com/windows/ie/downloads/critical/Q321232/default.asp Otros artículos: VSantivirus No. 678 - 16/may/02 Parche acumulativo para Internet Explorer (MS02-023) http://www.vsantivirus.com/vulms02-023.htm VSantivirus No. 679 - 17/may/02 Lo que Microsoft nos ocultó sobre el IE y el WMP http://www.vsantivirus.com/17-05-02.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com |
||
