SEGURIDAD | Artículos | 15 ENE 2002

Microsoft reconoce el primer fallo de seguridad de Windows XP

La seguridad vuelve a poner en entredicho a Microsoft
Arantxa Herranz.
Windows XP, SQL Server y Explorer 6.0 son las tres aplicaciones que, en el transcurso de pocas semanas, han salido a la palestra pública por sus fallos de seguridad. Windows XP acapara, sino por su gravedad sí por su notoriedad, el caso más llamativo de los tres. Además, este nuevo sistema operativo también está tardando más de lo previsto en ser adoptado por los usuarios, especialmente los corporativos. La buena nueva hay que buscarla en Office XP, aplicación que, gracias al primer Service Pack, es ahora más fiable.

Poco antes de que se cumplieran dos meses de su disponibilidad, y cuando son ya más de 7 millones de usuarios los que emplean este sistema operativo, Microsoft ha tenido que poner en su Web el primer parche para solucionar un fallo de seguridad en Windows XP. Este error puede “comprometer” al sistema y dejar que sea vulnerable a posibles ataques, según reconoce la propia Microsoft. El problema afecta a un buffer Plug and Play “no verificado”, según las explicaciones de Microsoft.
La propia compañía asegura que todos los usuarios de Windows desde su edición 98 deberían descargarse, de manera gratuita, este parche, aunque esta recomendación se hace más patente para los usuarios de Windows XP. Una vez más, ha sido una compañía externa de seguridad, en este caso eEye Digital Security, quien ha comunicado este error.
Además, el propio FBI, a través de su agencia de seguridad informática, ha recomendado a los usuarios que consideren la opción de desactivar el servicio Plug and Play para cerrar así el agujero de seguridad que puede permitir a los piratas informáticas entrar y romper el ordenador del usuario.
El FBI ha realizado esta sugerencia, tras discutirla con Microsoft, al conocerse que este fallo puede provocar ataques de denegación de servicio y otras intromisiones. Asimismo, este organismo estadounidense también sugiere a los administradores de sistemas que acentúen las prácticas de seguridad.

Explorer 6.0 también tiene un agujero
Pero, como hemos dicho anteriormente, Windows XP no es la única aplicación de Microsoft que se ha visto afectada en materia de seguridad. Así, la versión 6.0 de Explorer tiene un defecto que afecta a la manera en la que maneja la disposición de contenidos y aquellos que son HTML y que encabezan los campos de las páginas Web, según Microsoft. Estos campos, junto con el hospedaje de las URL y los detalles de los archivos alojados, determinan la manera en la que Explorer maneja los archivos después de descargarse, según ha explicado Microsoft.
Así, un atacante puede falsificar el tipo de archivo al alterar los encabezamientos en una página Web o en un mensaje de correo electrónico HTML. Explorer, de esta forma, descarga y ejecuta de manera automática el programa cuando un usuario visita la Web o ve el mensaje electrónico, incluso, con la opción de vista previa o al abrir éste un cliente de correo electrónico que emplee Explorer, como Outlook Express. Cabe señalar que se supone que el navegador muestra una alerta de seguridad y pregunta al usuario qué quiere hacer cuando una Web ofrece un archivo ejecutable para ser descargado.
Este agujero, además, también existe en las versiones 5.5 y 5.0 de Explorer, según Oy Online Solutions, una compañía finlandesa de seguridad reconocida por Microsoft como descubridora del agujero. Sin embargo, la versión 5.5 que posea el Service Pack 2 instalado no correrá este peligro, según han señalado las dos compañías.
Si un hacker hace uso de este fallo, podrá hacer cualquier cosa en el PC del usuario. El uso principal que se le otorgaría a la máquina, según Oy Online Solutions, sería para provocar denegaciones de servicio o envío masivo de virus.

SQL Server, el tercero en discordia
En lo que afecta a aplicaciones servidor, la base de datos de la compañía, SQL, tiene un error que puede hacer al producto vulnerable de provocar un ataque de denegación de servicio y la ejecución de códigos maliciosos por parte de hackers. Eso sí, una vez más los parches que solucionan el problema están disponibles en la Web del fabricante.
Los errores afectan a las versiones 2000 y 7.0 de la base de datos y tienen que ver a la manera en que crean y muestran los mensajes de texto después de que sea enviada una consulta, según ha explicado Microsoft, quien ha calificado a estos errores como “moderado” y “bajo”.
El primero de ellos resulta de las funciones de generación de texto, que limitan el tamaño al espacio del buffer que exista en el sistema, y que pueden propiciar lo que se conoce como un sobreflujo de trabajo para el buffer. Esto podría ser aprovechado por los piratas para ejecutar un código dentro del sistema. El segundo de los fallos afecta al formateo de varios mensajes en los sistemas operativos Windows NT 4.0, 2000 y XP.

Office XP, más “limpio” y fiable
Mientras, y con el reto de ofrecer a los clientes más razones para migrar a Office XP así como a Windows XP, Microsoft ha anunciado el primer Service Pack para la suite de productividad, que está centrado en mejorar el rendimiento, la seguridad y la fiabilidad.
Además de la tradicional colección de parches y mejoras de sus características, Microsoft también ha incluido la herramienta de migración SharePoint Team Services, que pretende ayudar a los usuarios a migrar hacia tecnologías SharePoint basadas en Web.
Algunos de los nuevos parches de seguridad están diseñados para cerrar aquellos agujeros que permitían la ejecución de códigos maliciosos en Word, Excel y PowerPoint. También se han solventado algunos de los problemas relacionados con la opción de vista previa de los mensajes de Outlook.
“Office XP está disponible desde mayo y Windows XP desde octubre. Ahora lanzamos el primer Service Pack. Creo que esto va a ser un factor clave para que las empresas se decidan a adoptar estos dos productos”, ha señalado Nicole Von Kaenel, responsable de marketing de producto de Office XP. “Las organizaciones pueden sentirse más seguras ahora evaluando los dos productos a la vez”.
Asimismo, Microsoft ya ha anunciado que se está contemplando la posibilidad de hacer evolucionar las etiquetas inteligentes o Smart Tags para que tengan más opciones de enlace y proporcionen más variedad de información relacionada con servicios. Además, para enero está prevista la comercialización del paquete de herramientas Office XP Web Services, que ayudará a los desarrolladores y a los distribuidores a descubrir e integrar de manera más rápida servicios Web basados en XML en soluciones Office XP personalizadas, según ha señalado la propia Microsoft.

Menos ventas que Windows 98
Hablando de Windows XP, cabe señalar que desde su lanzamiento el pasado 25 de octubre, Microsoft ha vendido 650.000 copias a través del canal retail, en comparación con las 900.000 copias que el fabricante de software vendió de la versión Windows 98 en el mismo período de tiempo, según NPD Techworld. Asimismo, y siempre según fuentes de la consultora, durante el mes de noviembre Microsoft vendió 250.000 copias de Windows XP, en comparación a las 400.000 de octubre. Mientras, Windows 98 alcanzó las 350.000 copias durante su segundo mes en el mercado, mientras que obtuvo 580.000 en su primer mes de debut. Cabe se

Contenidos recomendados...

Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios
X

Uso de cookies

Esta web utiliza cookies técnicas, de personalización y análisis, propias y de terceros, para facilitarle la navegación de forma anónima y analizar estadísticas del uso de la web. Consideramos que si continúa navegando, acepta su uso. Obtener más información