Microsoft: No TCP/IP parches para usted, XP
La noticia agrega Windows XP Service Pack 2 (SP2) y SP3 a la lista de patches que anteriormente sólo incluía Windows 2000 Server SP4.
"Estamos hablando de código que es de 12 a 15 años de edad en su origen, tan adaptando cambios que a nivel de código es, esencialmente, no es factible", dijo el administrador de programas de seguridad Adrian Stone durante Microsoft mensual de post-parche Webcast, refiriéndose a Windows 2000 y XP.
"Una actualización para Windows XP no estará disponible," Piedra y compañeros de programa administrador de Jerry Bryant dijo que durante el Q&A parte de la transmisión (transcripción aquí).
El pasado martes, Microsoft dijo que no era parches de Windows 2000, ya que la creación de una solución era "inviable."
Los errores son, en Windows la aplicación de TCP/IP, la Web predeterminado de la suite de protocolos de conexión. Todas las tres de las vulnerabilidades de relieve en el boletín de seguridad MS09-048 actualización fueron parcheados en Vista y Server 2008. Sólo dos del trío afecta a Windows Server 2000 y Windows XP, Microsoft dijo en el acompañamiento del asesor, el cual fue actualizado en jueves.
En la versión revisada del documento informativo, Microsoft explicó por qué no el parche de Windows XP, el mundo del sistema operativo más popular. "Por defecto, Windows XP SP2, Windows XP SP3 y Windows XP Professional x64 Edition SP2 no tiene un servicio de escucha configurado en el cliente de servidor de seguridad y, por tanto, no se ven afectados por esta vulnerabilidad", dijo la compañía. "El SP2 de Windows XP y sistemas operativos posteriores incluyen un firewall que proporciona protección a los equipos contra el tráfico entrante de Internet o de los vecinos de los dispositivos de red en una red privada."
Aunque los dos errores que pueden ser explotadas en Windows 2000 y XP, Microsoft minimizó su impacto. "Un sistema deje de responder debido a consumo de memoria ... [pero] un ataque con éxito requiere un flujo sostenido de especialmente diseñado paquetes TCP, y el sistema se recuperará una vez que cese la inundación."
Microsoft nominal de las vulnerabilidades en Windows 2000 y XP como "importante" en Windows 2000, y "bajos" en XP. La empresa utiliza un cuatro-paso del sistema de puntuación, donde "baja" es la menos peligrosa amenaza, seguido en orden ascendente por "moderado", "importante" y "crítico".
El mismo dos errores se clasifican como "moderado" para la Vista y Server 2008, mientras que un tercero-que no afecta a los sistemas operativos anteriores -- fue calificado como "crítico".
Durante el Q&A, sin embargo, los usuarios de Windows pedido en repetidas ocasiones a Microsoft de seguridad del equipo para explicar por qué no estaba parches XP, o si, en ciertos escenarios, sus máquinas podrían estar en riesgo. "Nosotros todavía usan Windows XP y no hacemos uso de Firewall de Windows", se leía en una de las preguntas de los usuarios. "Utilizamos un proveedor de terceros producto de firewall. Incluso suponiendo que se utiliza el Firewall de Windows, si hay servicios de escucha, tales como escritorio remoto, no, a continuación, Windows XP ser vulnerables a este tipo?"
"Los servidores son más probable objetivo de este ataque, y el firewall debe proporcionar protección adicional contra los exploits", respondió Piedra y Bryant.
Otro usuario le preguntó a explicar las condiciones bajo las que Microsoft no ofrecen parches para sistemas operativos compatibles. Windows Server 2000 SP4, por ejemplo, es para recibir actualizaciones de seguridad hasta julio de 2010; de Windows XP de apoyo no expira hasta abril de 2014.
Piedra y Bryant respuesta: "vamos a continuar proporcionando actualizaciones para Windows 2000, mientras que es en apoyo a menos que no sea técnicamente factible hacerlo."
Omitiendo los parches es muy inusual para Microsoft. De acuerdo a una Piedra y Bryant, la última vez que se negó a parchear una vulnerabilidad en un soporte de edición de Windows fue en Marzo de 2003, cuando dijo que no corregir un error en Windows NT 4.0. A continuación, se explica la omisión con un lenguaje muy similar a lo que se utiliza cuando se dijo que no actualización de Windows 2000.
"Debido a estas diferencias fundamentales entre Windows NT 4.0 y Windows 2000 y sus sucesores, que es imposible de reconstruir el software para Windows NT 4.0 para eliminar la vulnerabilidad," Microsoft dijo en el momento.
Autor: Keylogger.Org Equipo