Noticias de Hispasec
En esta nueva era , tambien estaran incluidas noticias tomadas directamente desde Hispasec sobre asuntos de seguridad pero principalmente con respecto a los parches de Microsoft que como todos sabran salen los segundos martes de cada mes.
Los parches de Microsoft saben a poco
Después de anunciar ocho boletines de seguridad, el número real se hareducido a la mitad. Los parches de Microsoft de este mes han dejado sinsolución (entre otras) tres vulnerabilidades graves en Microsoft Word,presumiblemente incluidos entre los ocho originales que se anunciaronpero que no fueron publicados finalmente.Los parches publicados el pasado martes solventan, como fue anunciado aúltima hora, diez vulnerabilidades agrupadas en cuatro boletines. Losque salen peor parados son los componentes de Office, Outlook y Excel,con nueve vulnerabilidades, casi todas críticas. Ninguno de los falloscorregidos se conocía de forma pública antes de la aparición de estosboletines (aunque algunos sí que estaban siendo aprovechados).Sin embargo, tres vulnerabilidades en Word para las que existe exploitpúblico que permite ejecución de código (y está siendo aprovechado),no han sido contempladas en esta ocasión. Tampoco dos problemas en elservicio CSRSS (Client Server Runtime SubSystem) que permiten elevarprivilegios en local o revelar información sensible han encontradosolución. Todas se han dado a conocer durante el mes de diciembre.Existen otras vulnerabilidades "pendientes" que permiten provocar
igualmente en espera.No existe aclaración oficial sobre la causa de este lote deactualizaciones mensual descafeinado, donde se han echado en faltasoluciones a problemas acuciantes en la suite ofimática de Microsofto su sistema operativo. Se puede presuponer que los parches estabanprácticamente listos en un primer momento, hasta el punto de seranunciados, pero a última hora no los consideraron suficientementemaduros. Es más que probable que desde Microsoft se haya decididocomprobar una vez más la calidad de esos parches anunciados en primerainstancia para ahorrarse disgustos y no comprometer la estabilidad desus clientes.Es comprensible esta actitud reservada y conservadora a la hora depublicar parches. Situaciones como la vivida en agosto de 2006 con elboletín MS06-042 hacen necesario una reflexión sobre la liberación deparches. En él se recomendaba la aplicación de un parche acumulativopara Internet Explorer que solucionaba ocho problemas de seguridad.Dos semanas después se hizo público que, inadvertidamente, este parchehabía introducido una nueva vulnerabilidad crítica.Si se cumple el ciclo (muy probablemente) y no se publican nuevosparches extraordinarios hasta febrero, dejarían sin solucionar variosproblemas graves durante más de dos meses. Aunque una política decomprobación de calidad y análisis de impacto es tan importante comocualquier otro proceso de la administración de actualizaciones, losretrasos pueden resultar tan peligrosos (para sus clientes y para suimagen) como arriesgarse a publicar un parche que cause algúnestropicio. Es un equilibrio que no debe romperse.En cualquier caso, es decisión de los usuarios utilizar alternativascuando sea posible (como OpenOffice.org) o aplicar las contramedidasque recomendadas en los correspondientes boletines y ayudan a mitigar",1]
);
//-->
denegaciones de servicio (que la aplicación deje de responder)igualmente en espera.No existe aclaración oficial sobre la causa de este lote deactualizaciones mensual descafeinado, donde se han echado en faltasoluciones a problemas acuciantes en la suite ofimática de Microsofto su sistema operativo. Se puede presuponer que los parches estabanprácticamente listos en un primer momento, hasta el punto de seranunciados, pero a última hora no los consideraron suficientementemaduros. Es más que probable que desde Microsoft se haya decididocomprobar una vez más la calidad de esos parches anunciados en primerainstancia para ahorrarse disgustos y no comprometer la estabilidad desus clientes.Es comprensible esta actitud reservada y conservadora a la hora depublicar parches. Situaciones como la vivida en agosto de 2006 con elboletín MS06-042 hacen necesario una reflexión sobre la liberación deparches. En él se recomendaba la aplicación de un parche acumulativopara Internet Explorer que solucionaba ocho problemas de seguridad.Dos semanas después se hizo público que, inadvertidamente, este parchehabía introducido una nueva vulnerabilidad crítica.Si se cumple el ciclo (muy probablemente) y no se publican nuevosparches extraordinarios hasta febrero, dejarían sin solucionar variosproblemas graves durante más de dos meses. Aunque una política decomprobación de calidad y análisis de impacto es tan importante comocualquier otro proceso de la administración de actualizaciones, losretrasos pueden resultar tan peligrosos (para sus clientes y para suimagen) como arriesgarse a publicar un parche que cause algúnestropicio. Es un equilibrio que no debe romperse.En cualquier caso, es decisión de los usuarios utilizar alternativascuando sea posible (como OpenOffice.org) o aplicar las contramedidasque recomendadas en los correspondientes boletines y ayudan a mitigar
igualmente en espera.No existe aclaración oficial sobre la causa de este lote deactualizaciones mensual descafeinado, donde se han echado en faltasoluciones a problemas acuciantes en la suite ofimática de Microsofto su sistema operativo. Se puede presuponer que los parches estabanprácticamente listos en un primer momento, hasta el punto de seranunciados, pero a última hora no los consideraron suficientementemaduros. Es más que probable que desde Microsoft se haya decididocomprobar una vez más la calidad de esos parches anunciados en primerainstancia para ahorrarse disgustos y no comprometer la estabilidad desus clientes.Es comprensible esta actitud reservada y conservadora a la hora depublicar parches. Situaciones como la vivida en agosto de 2006 con elboletín MS06-042 hacen necesario una reflexión sobre la liberación deparches. En él se recomendaba la aplicación de un parche acumulativopara Internet Explorer que solucionaba ocho problemas de seguridad.Dos semanas después se hizo público que, inadvertidamente, este parchehabía introducido una nueva vulnerabilidad crítica.Si se cumple el ciclo (muy probablemente) y no se publican nuevosparches extraordinarios hasta febrero, dejarían sin solucionar variosproblemas graves durante más de dos meses. Aunque una política decomprobación de calidad y análisis de impacto es tan importante comocualquier otro proceso de la administración de actualizaciones, losretrasos pueden resultar tan peligrosos (para sus clientes y para suimagen) como arriesgarse a publicar un parche que cause algúnestropicio. Es un equilibrio que no debe romperse.En cualquier caso, es decisión de los usuarios utilizar alternativascuando sea posible (como OpenOffice.org) o aplicar las contramedidasque recomendadas en los correspondientes boletines y ayudan a mitigar",1]
);
//-->
denegaciones de servicio (que la aplicación deje de responder)igualmente en espera.No existe aclaración oficial sobre la causa de este lote deactualizaciones mensual descafeinado, donde se han echado en faltasoluciones a problemas acuciantes en la suite ofimática de Microsofto su sistema operativo. Se puede presuponer que los parches estabanprácticamente listos en un primer momento, hasta el punto de seranunciados, pero a última hora no los consideraron suficientementemaduros. Es más que probable que desde Microsoft se haya decididocomprobar una vez más la calidad de esos parches anunciados en primerainstancia para ahorrarse disgustos y no comprometer la estabilidad desus clientes.Es comprensible esta actitud reservada y conservadora a la hora depublicar parches. Situaciones como la vivida en agosto de 2006 con elboletín MS06-042 hacen necesario una reflexión sobre la liberación deparches. En él se recomendaba la aplicación de un parche acumulativopara Internet Explorer que solucionaba ocho problemas de seguridad.Dos semanas después se hizo público que, inadvertidamente, este parchehabía introducido una nueva vulnerabilidad crítica.Si se cumple el ciclo (muy probablemente) y no se publican nuevosparches extraordinarios hasta febrero, dejarían sin solucionar variosproblemas graves durante más de dos meses. Aunque una política decomprobación de calidad y análisis de impacto es tan importante comocualquier otro proceso de la administración de actualizaciones, losretrasos pueden resultar tan peligrosos (para sus clientes y para suimagen) como arriesgarse a publicar un parche que cause algúnestropicio. Es un equilibrio que no debe romperse.En cualquier caso, es decisión de los usuarios utilizar alternativascuando sea posible (como OpenOffice.org) o aplicar las contramedidasque recomendadas en los correspondientes boletines y ayudan a mitigar
posted by Espiritu at 6:05 AM
2 comments
