En su ciclo habitual de actualizaciones los segundos martes de cada mes,
Microsoft ha anunciado que en esta ocasión no se esperan boletines de
seguridad, circunstancia que no se daba desde septiembre de 2005. Sí que se
publicarán otras actualizaciones de alta prioridad no relacionadas con la
seguridad.
Si en febrero fueron doce los boletines de seguridad, este mes Microsoft no
prevé publicar actualizaciones el día 13 de marzo. Si bien esto no
significa que no existan problemas de seguridad todavía sin solucionar o
que no se hayan descubierto nuevos errores en este periodo de tiempo.

De hecho, existen varios problemas en Visual Studio y Microsoft Help
Workshop conocidos desde finales de enero que no han sido solucionados.
Hace poco se ha dado a conocer un nuevo error en Ole32.dll que quizás
permita la ejecución de código disparada a través de un fichero Word. El
día 15 de febrero, se hizo pública la existencia de un error crítico en
Word que permitía la ejecución de código y que estaba siendo aprovechado de
forma activa. También hay constancia de un fallo en Publisher por corregir.
Existen además otros problemas de elevación de privilegios locales y
revelación de información sensible sin solución.

Por tanto, no hay razón aparente para dejar pasar este mes sin
actualizaciones, excepto la teoría lanzada desde algunas páginas
especializadas. El congreso de Estados Unidos decidió en 2005 que el
periodo de ahorro de luz del día se prolongase cuatro semanas a partir de
2007. Por primera vez en 20 años, el famoso cambio horario que se realiza
dos veces al año, se adelantaría al segundo domingo de marzo (en vez del
primer domingo de abril). Igualmente se retrasaría a noviembre el cambio
otoñal. Con esto, Estados Unidos (no todos sus estados) y Canadá (en Europa
no se adoptará esta medida) pretenden ahorrar energía prolongando las horas
de luz.

Este cambio, implantado en todos los sistemas que modifican su horario de
forma automática (desde routers hasta teléfonos móviles) ha provocado un
efecto parecido al vivido en el año 2000. Todo el software ha debido ser
actualizado y millones de administradores y usuarios han tenido que aplicar
los parches correspondientes. Desde el domingo 11 de marzo, a las dos de la
mañana, tendrán que comprobar si las actualizaciones han funcionado
correctamente. Microsoft, quizás, no ha querido cargar además a los
administradores con la responsabilidad (y la dura tarea) de parchear la
seguridad de servidores críticos si además deben controlar que la
aplicación del parche horario ha funcionado adecuadamente. Ante cualquier
eventualidad por lo "traumático" del cambio (ya tuvieron problemas los
australianos en 2006 con un cambio parecido), probablemente hayan decidido
curarse en salud y facilitar a los administradores el trabajar por partes.

En cualquier caso, si gracias a la decisión de Microsoft el martes no habrá
trabajo extra de seguridad para muchos administradores, sí que de todas
formas, desde este domingo deben comprobar exhaustivamente que todo ha ido
bien y que el cambio horario ha tenido lugar sin mayores contratiempos en
todos sus sistemas (con especial atención a las alertas programadas y al
trabajo con diferentes husos horarios, por ejemplo).

Se espera además, en consecuencia, un segundo martes de abril bien cargado
de boletines de seguridad de Microsoft.


Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/3061/comentar

Más Información:

Microsoft Security Bulletin Advance Notification
http://www.microsoft.com/technet/sec...n/advance.mspx

Patch Reprieve for March's Black Tuesday
http://blog.washingtonpost.com/secur...rchs_blac.html



Sergio de los Santos
http://www.hispasec.com/unaaldia/3061


--
El día que Pablo Lleó Gárcia deje de hacer el imbécil en los foros técnicos
de MS y de falsificar a la gente, yo dejaré de cantaros las 40 aquí. Hasta
el momento soy comedido: solo pongo los mismos mensajes, copiados, que Pablo
ha puesto allí y segun los va poniendo. Por tanto, ya sabeis quien es el
culpable.