[HACK] Windows Update: ¿Solución o problema?

[Sergio de los Santos]

28/05/03

Windows Update: ¿Solución o problema?

Un nuevo parche de actualización publicado por Microsoft para Windows XP, 
destinado a mejorar las funciones de VPN ("Virtual Private Network"), en 
concreto la manera en la que el sistema operativo maneja IPSec, puede 
bloquear la conexión a Internet de ciertos usuarios que tengan  firewalls 
personales instalados, debido a un error en su programación y a la 
interacción con el cortafuegos.

No es la primera vez que un parche creado por Microsoft con el fin de 
mejorar el rendimiento o arreglar fallos de seguridad, no hace más que 
crear nuevos problemas, desestabilizar el sistema, o, en el mejor de los 
casos, dejarlo exactamente igual que estaba. Recordemos algunos ejemplos.

El parche que Microsoft publicó para evitar la vulnerabilidad relacionada 
con el protocolo WebDAV, descubierta hace unos meses y que ponía en peligro 
a todos los servidores web con IIS y Windows 2000 instalado, sufría a su 
vez de un problema que, según la versión, podía llegar a bloquear el 
ordenador donde hubiese sido aplicado. Microsoft tuvo que publicar una 
nueva versión del boletín de seguridad en el que confirmaba la 
incompatibilidad del parche con otros doce ya existentes para dicho sistema 
operativo.

En el boletín de seguridad MS02-023 (publicado en Mayo de 2002 y 
actualizado en Febrero de 2003), Microsoft recomendaba a todos sus usuarios 
la aplicación de un parche de seguridad acumulativo para su navegador 
Internet Explorer, que arreglaba seis graves problemas de seguridad. 
GreyMagic Software, entre otras, publicó que la solución propuesta por 
Microsoft derivaba en nuevos problemas incluso más graves que los 
anteriores, pues no se atacaba directamente a las raíces del diseño, sino 
sólo a sus síntomas. Puso a disposición de los usuarios una página de 
prueba y demostración. Andreas Sandbald, por su parte, afirmaba también en 
Bugtraq que incluso con la aplicación del parche, se podía seguir leyendo 
cookies remotas en el navegador, otra de las vulnerabilidades que se supone 
resolvía.

Los usuarios del cliente de correo Outlook tuvieron que rendirse ante la 
evidencia de que, tras instalar el Service Pack 2 de Office XP, no podían 
descargar algunos mensajes, e incluso el programa  se colgaba sin otro 
remedio que terminar el proceso desde el administrador de tareas. El 
Service Pack fue publicado en Agosto de 2002, mientras que la solución al 
problema no estuvo disponible hasta Diciembre del mismo año.

Estos no son todos los ejemplos, tan sólo una pequeña muestra de la cada 
vez más popular tendencia a desconfiar de los "opacos" parches de seguridad 
de Microsoft, que, con la voluntad de ofrecer soluciones rápidas,  no son 
probados suficientemente antes de ser publicados y causan nuevos fallos. El 
problema se vuelve un verdadero dilema en sistemas críticos, en los que no 
se pueden permitir el lujo de ser vulnerables ni un sólo minuto, pero 
tampoco pueden arriesgarse a aplicar una solución que no ha sido 
suficientemente probada en otros sistemas similares.

Más información:

XP Update Blocks Net Access for Some:
http://www.eweek.com/article2/0,3959,1110333,00.asp

Vulnerabilidad WebDAV:
http://www.microsoft.com/technet/treeview/?url=/technet/security/bulletin/MS03- 
007.asp

Boletín de seguridad MS02-023:
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS02- 
023.asp

Andreas Sandbald en Bugtraq:
http://online.securityfocus.com/archive/1/273168/2002-05-17/2002-05-23/0

Demostración de GreyMagic:
http://sec.greymagic.com/adv/gm004-ie/

Outlook Stops Responding when you apply Office XP Service Pack 2:
http://support.microsoft.com/default.aspx?scid=kb;en-us;Q329349

Un parche del Explorer provoca nuevos problemas de seguridad:
http://www2.elmundo.es/navegante/2002/05/20/seguridad/1021885210.html

-- 
Sergio de los Santos.
Redactor de Contenidos.
s.delossantos at forzis.com
http://www.forzis.com