• Tweet

Christopher Budd de Microsoft explica como el boletín de Visual Studio puede afectar a múltiples ambientes Unix.

Para septiembre de 2007 estamos liberando cuatro nuevos boletines de seguridad. Uno de los boletines es para Windows 2000 solamente, y está clasificado como Crítico. Los tres restantes están clasificados como “Importantes”.

Para ayudar a tu planeación y evaluación de riesgo, a continuación se cubrirá información para ayudar a entender los sistemas que son afectados por el boletín MS07-052, el boletín de Crystal Reports, el boletín MS07-053 y el boletín relacionado con Services for Unix.

Expiración del soporte para MBSA 1.2.1

Con la liberación de septiembre, estamos un mes de la expiración del soporte para MBSA (Microsoft Baseline Security Analyzer) 1.2.1. Proporcionaremos soporte para MBSA 1.2.1 para la liberación de octubre de 2007 hasta octubre 9 de 2007. Después de esa fecha, no se proporcionará más soporte para MBSA 1.2.1 para nuevas actualizaciones de seguridad. Es recomendable que actualices a la versión más reciente de MBSA, la 2.0.1. Puedes obtener esta versión de http://www.microsoft.com/technet/security/tools/mbsahome.mspx.

Microsoft Update Catalog

Discutí esto en la pasada columna Inside MSRC (http://searchsecurity.techtarget.com/columnItem/0,294698,sid14_gci1268022,00.html), pero debido a que esto puede ser un recurso valioso, mencionaré una vez más que tenemos otra herramienta para ayudar a implementar actualizaciones, incluyendo actualizaciones de seguridad: Microsoft Update Catalog. Éste es un catálogo de búsqueda para todas las actualizaciones de seguridad, controladores y Services Packs que están disponibles a través de Windows Update (WU) y Microsoft Update (MU). Puedes utilizar el Microsoft Update Catalog para distribuir estas actualizaciones a través de una red corporativa, utilizando herramientas como WSUS 3.0, System Center Essentials (SCE) o System Center Configuration Manager (SCCM).

Puedes obtener más información sobre Microsoft Update Catalog en http://catalog.update.microsoft.com/v7/site/Thanks.aspx-id=140. También, el equipo de Microsoft Update tiene información sobre esto, así como de otras cosas en su blog de Technet en http://blogs.technet.com/mu/default.aspx.

MS07-052 y MS07-053

El MS07-052, el boletín de Crystal Reports para Visual Studio y el MS07-053, el boletín de Services for Unix tiene ligeramente escenarios más complejos en términos de los posibles sistemas afectados.

MS07-052 soluciona una vulnerabilidad de ejecución remota de código que puede ser explotada cuando se abre un archivo RPT de Crystal Reports. Crystal Reports está instalado con algunas versiones de Visual Studio. MS07-052 proporciona más detalles sobre las versiones de Visual Studio que incluyen Crystal Reports.

MS07-053 soluciona una vulnerabilidad de elevación de privilegios en Windows Services for Unix 3.0, Windows Services for Unix 3.5 y Subsystem for UNIX-based Applications incluido en Windows.

Windows Services for Unix 3.0 7 2.5 están disponibles como descargas por separado y tienen que ser descargos e instalados. Estos paquetes no son parte de ninguna versión de Windows de forma predeterminada. El Subsystem for UNIX-based Applications es un componente de Windows Server 2003 y Windows Vista pero no está instalado de forma predeterminada.

Esto significa que, de forma predeterminada ninguna versión de Windows es vulnerable a estas actualizaciones. Sin embargo, si se tiene habilitada la característica Subsystem for UNIX-based Applications o si se ha descargado e instalado ya sea Windows Services for Unix 3.0 o 3.5, deberías aplicar las actualizaciones de seguridad. Puedes obtener más información sobre los sistemas afectados en el MS07-053.

Para los boletines MS07-052 y MS07-053 puedes utilizar MBSA 2.0.1, la edición de éste mes del EST (Enterprise Scan Tool), WSUS y SMS (System Management Server) para identificar sistemas a los que se aplicarán las actualizaciones de seguridad. También puedes utilizar WSUS y SMS para implementar estas actualizaciones.