Derecho informáticos derecho nuevas tecnologías

artículos estafas fraudes Servicio legal derecho informático nuevas tecnologías asesoría problemas legislación

Derecho informáticos derecho nuevas tecnologías
Derecho informáticos derecho nuevas tecnologías
 Artículos de Actualidad
  • ¿Seguridad con Microsoft? [15-11-01]  


    En menos de un mes Microsoft ha tenido que retirar en dos ocasiones sendos parches que debían solucionar problemas de seguridad. En su lugar las actualizaciones causaban errores a nivel de sistema y paradas en algunos servicios. Peor el remedio que la enfermedad.

    El pasado 18 de octubre Microsoft retiraba un parche para Windows 2000 (MS01-052 Invalid RDP Data can Cause Terminal Service Failure) cuya instalación causaba errores en los sistemas. El 22 de octubre se publicaba una rectificación del parche. Steve Lipner, director de seguridad de Microsoft, reconoció públicamente los problemas que achacó a "confusiones" de índole administrativa, al mismo tiempo que anunciaba la puesta en marcha de nuevos procedimientos para impedir se volviera a repetir el caso y conseguir la confianza de los usuarios.

    Dicho y hecho. El 1 de noviembre Microsoft publicaba un boletín donde se describía y facilitaba un parche destinado a corregir una vulnerabilidad en el servicio UPnP (Universal Plug and Play) que afecta a Windows 98, ME y XP. Los usuarios de Windows ME que instalaron el parche pasaron de la remota posibilidad de sufrir un ataque DoS a poder tener continuos problemas a nivel de sistema. Tras los primeros reportes Microsoft retiró el parche para Windows ME, a día de hoy siguen investigando el problema.

    Peor lo llevan aquellos usuarios que hacen uso de las actualizaciones automáticas de Microsoft, "Windows Update", que suelen ser los "conejillos de India" donde se prueban los parches sin más
    información. Bajo el título "October 25th, 2001 Critical Update" se incluyó el parche defectuoso del servicio UPnP.

    En pleno debate sobre la "anarquía informativa", Microsoft deja patente que sus problemas con la seguridad, al menos en lo que a los parches defectuosos se refieren, poco tiene que ver con la presión que pueda ejercer la divulgación pública de las vulnerabilidades detectadas en sus productos.

    El problema original en el servicio UPnP fue reportado en exclusiva a Microsoft el 15 de agosto por un investigador externo. Tuvo que esperar 12 días a que Microsoft le comunicara que estaban estudiando el caso. A principios de septiembre le confirmaron la existencia de la vulnerabilidad. Transcurridas 10 semanas del aviso, el 1 de noviembre, Microsoft hace pública la vulnerabilidad y facilita la "solución" con los problemas ya descritos.

    Al término de esta nota he recibido un mensaje desde Chile donde "ZeroX" me comenta los problemas que ha encontrado en la herramienta "HFNetChk" de Microsoft destinada a detectar los parches que faltan en un sistema. En resumen, la falta de actualización de esta utilidad ocasiona informes erróneos que pueden causar una falsa sensación de seguridad. En lo que parece una clara contradicción a las tan difundidas "Nuevas Estrategias de Seguridad", "ZeroX" dejaba caer la siguiente pregunta: ¿Microsoft está realmente comprometida con la seguridad?

    Opina sobre esta noticia:
    http://www.hispasec.com/unaaldiacom.asp?id=1115

    Más información:

    ¿Anarquía informativa?
    http://www.hispasec.com/unaaldia.asp?id=1091

    Microsoft Security Bulletin MS01-052
    Invalid RDP Data can Cause Terminal Service Failure
    http://www.microsoft.com/technet/security/bulletin/MS01-052.asp

    Microsoft Security Bulletin MS01-054
    Invalid Universal Plug and Play Request can Disrupt System Operation
    http://www.microsoft.com/technet/security/bulletin/MS01-054.asp

    Three Windows XP UPNP DOS attacks
    http://www.securityfocus.com/archive/1/224295

    Problems with MS01-052 - Microsoft responds
    http://www.ntbugtraq.com/default.asp?pid=36&sid=1&A2=ind0111&L=ntbugtraq&F=P&S=&P=7939

    Microsoft To Review Buggy Patch Procedures
    http://www.newsbytes.com/news/01/172041.html


    Bernardo Quintero
    bernardo@hispasec.com





    Artículos de actualidad ...
    Archivo de artículos ...
  •  
    Campaña Stop Pedofilia
    Gratis Servicio de noticias
    Suscribir Borrado
    Tus Sugerencias son bienvenidas
    Pincha Aquí
    ¡¡Lista de correo!!
    Introduzca su correo:




    www.delitosinformaticos.com . mailto:webmaster@delitosinformaticos.com . Delitosinformáticos

    © Copyright 2000-2002 Delitosinformaticos.com -.