Controlado desde el
19/10/97 por NedStat
|
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro
visitante número desde
el 12 de agosto de 1996
Parche que no funciona. Miles de usuarios indefensos
|
|
VSantivirus No. 269 - Año 5 - Martes 3 de abril de 2001
Parche que no funciona. Miles de usuarios indefensos
Según informa Kriptópolis, el sitio de seguridad desde donde Juan Carlos García Cuartango advirtió la existencia de este fallo en el Outlook e Internet Explorer mencionado en nuestro VSantivirus No. 266 - Año 5 - Sábado 31 de marzo de 2001
(Grave vulnerabilidad en Internet Explorer. Por Alejandro G.
Rodriguez), el parche liberado por Microsoft, no funciona adecuadamente.
Este parche, disponible en http://www.microsoft.com/technet/security/bulletin/ms01-020.asp,
supuestamente corrige la vulnerabilidad que hace que el Explorer no maneje correctamente algunos tipos de extensiones MIME, de tal manera que bajo ciertas condiciones, se podrían ejecutar archivos adjuntos a un mensaje electrónico en formato HTML.
Sin embargo, numerosos intentos de usuarios de habla hispana (existen algunos reportes que esto también ocurre con las versiones en inglés), de instalar el parche luego de bajar la versión correspondiente, han fallado, después de mostrar un mensaje donde se anuncia que dicha actualización no es necesaria en su sistema.
Según Kriptópolis, el parche de Microsoft tiene errores, y rehusa instalarse en sistemas que si son vulnerables.
Kriptópolis insiste de que esta es una de las fallas más importantes descubiertas hasta la fecha, y por ello miles de usuarios están indefensos, porque el parche parece no funcionar.
En la página española de Microsoft, del 2 de abril, se insiste sin embargo que el parche funciona correctamente, pero que para su correcta instalación, se debe tener instalado el Internet Explorer 5.01 Service Pack 1 o Internet Explorer 5.5 Service Pack 1.
Tanto para actualizarse a estas versiones del IE como para descargar esta actualización de seguridad, la página indica esta dirección:
http://www.microsoft.com/spain/support/windows/ie/ieupdate.asp
La cierto es que la actualización de este parche, es problemático. Y como insiste Kriptópolis, esto es muy grave por las características de la falla: no requiere colaboración del usuario para ser explotada, permite el control total de la máquina atacada, y no se requiere absolutamente ningún conocimiento para explotarla.
La advertencia de Kriptópolis es muy tajante: "mientras usted lee esto, miles (¿millones?) de ordenadores bajo Windows pueden ser manipulados (formateo del disco duro, instalación de troyanos y puertas traseras, robo y destrucción de documentos, y cualquier otra cosa que se le ocurra), sin más que abrir un correo o visitar una página web. Si bien es cierto que aún no se han reportado ataques reales, eso tampoco quiere decir que no puedan existir, porque asuntos como la instalación de un troyano pueden pasar totalmente desapercibidos para la inmensa mayoría de los usuarios, y raramente se llega a identificar cuál fue la puerta de entrada".
Para minimizar este riesgo, Juan Carlos Cuartango brinda en dicho sitio algunas soluciones, que ante la gravedad del tema, nosotros publicamos
íntegro con la respectiva referencia a su autor en el
artículo: Medidas de emergencia (Por Juan Carlos García Cuartango).
Ver también:
05/abr/01 - Crónica de una vulnerabilidad anunciada
03/abr/01 - Medidas de emergencia (Por Juan Carlos García Cuartango)
31/mar/01 - Grave vulnerabilidad en extensiones MIME en IE
|
|
|