Un parche polémico (ODBC)

Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número

desde el 12 de agosto de 1996

Un parche polémico
	Sábado 28 de agosto de 1999. Un parche polémico Tal vez muchos se han preguntado porqué aún no habíamos sacado en nuestro boletín algo sobre la famosa vulnerabilidad que afectaba al driver ODBCJT32.DLL en Office 97 (según denominó siempre Microsoft a esta falla). Muchos sabrán que se anunció ya un parche. Y también deben saber que muchos medios comentan que Microsoft mintió cuando afirmó al comienzo que los usuarios de "Office 2000" no estaban en problemas. Sobre esto, la versión oficial de Microsoft, es que en el momento de producir la solución para la vulnerabilidad a los drivers ODBC de Excel 97, se encontraron con una nueva en la base de datos de los drivers ODBC, que puede afectar a los usuarios de Excel 2000. Según la empresa de Gates, esta vulnerabilidad se relaciona al componente IISAM de los drivers del banco de datos ODBC, y podría explotarse en forma muy similar a la falla de seguridad en Excel 97. El parche actual, según Microsoft, corrige ambas vulnerabilidades. Lo cierto, es que ha corrido mucha tinta y "bytes" sobre este tema. Quizá uno de los informes más completos e imparciales sobre el mismo, sea el de Kriptópolis (http://www.kriptopolis.com). Hace tres semanas Kriptópolis lo anunció como "el mayor agujero jamás descubierto por nadie (y no sólo por Cuartango) en un programa de Microsoft", y que debido a él "millones de usuarios pueden dar entrada a un virus en sus sistemas sin necesidad de hacer absolutamente nada (aparte -claro- de haber adquirido Office, con su grave fallo de diseño incorporado)." Los medios reaccionaron de diferente forma. A raíz de todo esto, se produjo un duro enfrentamiento entre algunos supuestos expertos en seguridad y el propio Cuartango. El punto candente es que, según afirma dicha información, Microsoft ocultó información, o deliberadamente mintió cuando afirmó que Office 2000 no era vulnerable. Pero Kriptópolis va más allá, y afirma que "Microsoft conocía desde mucho antes el fallo, pero la empresa se lo calló". Según ellos, "la propia Microsoft se atrevió a calificar públicamente como falsa esa afirmación (lo que equivale a llamar mentirosos a Cuartango y -por ende- a Kriptópolis)" en mensajes enviados el 30 de julio a la lista Ntbugtraq, y que nosotros comentábamos en nuestro artículo (y boletín) bajo el título "Agujero de seguridad en Office 97" del 30 de julio: "Microsoft afirmó en su mensaje a la lista, que ha verificado que este problema existe en el driver Jet 3.51 (Microsoft ODBC Desktop Driver Pack), y ha insistido a todos sus clientes que hagan el upgrade de la versión 3.51 a la 4.0". Microsoft insistía: "esta vulnerabilidad debe tomarse en serio. Los usuarios de Office 97 deben considerar actualizar inmediatamente este driver a la versión 4.0. La versión 3.51 se instala siempre con Office 97. Los usuarios de Office 2000, en cambio, no necesitan actualizarse, ya que por defecto este paquete incluye la versión 4.0". También dice Kriptópolis que "el propio Cuartango procedió a enviar a Ntbugtraq los mensajes intercambiados con los responsables de seguridad de Microsoft, en los que éstos reconocían abiertamente tener conocimiento previo de este asunto", pero "sorprendentemente, Russ Cooper (encargado de la lista) decidió NO publicar la réplica de Cuartango". Más adelante, Kriptópolis enfatiza y demuestra, que "Microsoft (o -al menos- uno de sus máximos responsables de seguridad) conocía el asunto aunque... quizás no todo el asunto. Afirmaciones como que Jet 4.0 solventa el problema (que llevó a muchos usuarios a descargar 6 MB, algo que luego Microsoft reconoció como inútil y cuya instalación otros clasificaron -incluso- como contraproducente), o que Office 2000 no está afectado (lo que no es cierto, como se ha demostrado luego), nos llevan a sospechar que Microsoft conocía el riesgo, pero no su auténtica gravedad hasta que Cuartango se la colocó ante sus ojos en forma de fichero-demostración." Pero más allá de razones (políticas, de imágen o las que sean), lo cierto al día de hoy, es que el parche actual, no corrige el problema. Primero, la versión del nuevo parche que Microsoft liberó hace unos días, (el archivo JETCOPKG.EXE) se encuentra en inglés. Los usuarios de las versiones en español, deberán esperar, o atenerse a resultados contraproducentes al instalarlo en sus computadoras. Segundo, para publicaciones como "La Brújula" (según publica en un artículo de este sábado en http://www.labrujula.net/1999/agosto/sabado,28,1.htm), y de acuerdo a la opinión de expertos como José Manuel Tella Llops, reconocido betatester de productos de Microsoft, "el origen del error no reside en el ‘driver’ ODBCJT32.DLL, sino en todo el motor de acceso a datos, pero no en el ODBC en sí. A partir de esta constatación, la seguridad de los programas de Microsoft estaría seriamente comprometida". En dicho artículo, se expresa que "la única forma de cerciorarse de que el PC del usuario es invulnerable sería disponer de las últimas librerías, o archivos .DLL existentes. Ello representa una notable dificultad ya que muchos programas de terceros instalan archivos antiguos, disponiendo de permiso para hacerlo". Tella también expresa que "el problema es que hay muchos paquetes de terceros y de desarrolladores que tienen DLLs viejas y que además tienen permiso para distribuir en sus programas el motor de acceso a datos, con lo cual difundirán otra vez el motor antiguo". "Dependiendo de qué instalador de programa se esté utilizando, puede que machaque las DLLs sin verificar versión. Muchos productos lo hacen así. Por tanto nadie estará seguro. Puedes estarlo hoy, pero ¿y después de instalar cualquier otra cosa?". En dicho artículo, Tella demuestra con una prueba sencilla, como la instalación del parche sobre una nueva instalación de Windows 98 más Office 2000 (en inglés), que "no se sustituye nada del ODBC; sí, en cambio, del JET. Sorprendentemente, se encuentran también archivos .DLL de marzo y junio". En otras palabras. No existe para los usuarios en español (ni para los de la lengua inglesa según estas noticias), una solución definitiva. La página que debería informarnos de estos detalles en nuestro idioma (http://officeupdate.microsoft.com/spain/) no muestra novedades.