Esta zona del blog no será actualizada. Visita el nuevo Blog del Laboratorio Hispasec

26
enero
2007

Y con esta van...

No he podido resistirme...
[Vulnerabilidades] 
Y algunos se extrañan (¿verdad, Chema?), cuando recomiendo, encarecidamente, usar OpenOffice...



New Microsoft Word 2000 Vulnerability:

http://www.symantec.com/enterprise/security_response/weblog/2007/01/new_microsoft_word_2000_vulner.html



0day, activamente aprovechada... ¿de qué me suena? ¿No había, además, otros fallos más antiguos sin parchear?.. Y es que hoy por hoy, usar Microsoft Office, es condenarte a un continuo "sinvivir" ;-)

Enviado por De Los Santos a las 10:06 | Enlace permanente | Comentarios (11) | Trackbacks (0)
Comentarios
Re: Y con esta van...

Ya te contaré algunas cosas que he averiguado de tu vida secreta pájaro!

PD: He encargado ya tus libros y tengo un OCR listo...

Posted by: Maligno at enero 26,2007 10:22
Re: Y con esta van...

Vaya dos... monta tanto, tanto monta... hay que volver a la guerra fría, éste hermanamiento MS-HS, con salidas nocturnas incluidas, nos terminará pasando factura.

Posted by: bquintero at enero 26,2007 13:08
Re: Y con esta van...

Fué él primero Bernardo, fue él. Me proboca, me busca, pero... ya pillará cacho sobre el escenario en la proxima....

Posted by: maligno at enero 26,2007 18:14
Re: Y con esta van...

Ah que openoffice ni ha tenido ni tiene ni tendra 0 days :)

Posted by: El Revelador at enero 28,2007 23:25
Re: Y con esta van...

¿Usas Word 2000? xD

Posted by: El Revelador at enero 28,2007 23:26
¿Quién está a salvo?

http://www.f-secure.com/weblog/archives/archive-012007.html#00001076

Posted by: Bill Torvalds :-) at enero 29,2007 01:59
maligno & company

Otra cosa no... pero está visto que se van a animar los comentarios del blog con la reciente hornada de lectores pro-MS ;)

El revelador: creo que no, que delosSantos no utiliza Word 2000. Ahora, si preguntas en las empresas... o en la administración pública, va a ser que hay más parque de Office 2000 que de Office XP o 2003... o que venga alguien de MS y lo desmienta (en tal caso casi apostaría a que es por poco). La gente no actualiza las versiones al ritmo que a MS le gustaría. Vamos a ver que tal va con el Vista... está complicadillo, sobre todo a nivel corporativo (pasar las estaciones de XP a Vista a corto-medio plazo).

En cuanto a 0-days, evidentemente hay para todos. El problema es si te pones a comparar cualitativa y cuantitativamente OpenOffice vs. MS Office, sale perdiendo este último con más 0-days. Tampoco hay que darle mucha importancia... es MS, es el paquete más extendido, es normal que le salgan más vulnerabilidades, lo mismo que es más normal crear más malware para Windows en vez de para Linux. Es el precio de la fama :p

Bill Torvalds: Del enlace que pasas, un XSS para Adobe Reader, que va a ser un pelín menos crítico que el 0-day de Word, no?... y lo del OpenOffice que en la versión 2.1 ya trae autoactualizador automático es una buena noticia, ya era hora. Pero efectivamente, nadie está a salvo.





Posted by: bquintero at enero 29,2007 03:05
Re: Y con esta van...

OOo no dispone de un sistema de gestión de actualizaciones para un entorno corporativo. Hasta donde he visto las actualizaciones se corrigen publicando el paquete completo de instalación (unos 180 MB en el caso de Windows si no recuerdo mal). Esto hace que sea bastante inviable su sustitución en entornos corporativos con varios miles de puestos.
Office puede ser mantenido en cuanto a parches con WUS. Único motivo por el que prefiero tener MS Office por ahora.

Saludos,
Juanma Merino

Posted by: Juanma Merino at enero 29,2007 10:32
Re: Y con esta van...

Además, hay que tener en cuenta que Word 2000 está fuera de la TWC (que yo se que le mola a "pajarraco" de los santos) pero en Office 2003 la cosa es un pelín mejor. ¿no?

Posted by: Maligno at enero 29,2007 17:23
Re: Y con esta van...

Pues qué quieres que te diga... hoy vuelve a encontrarse una. Y algunas fuentes dicen que el problema está en la versión 2003:

http://www.symantec.com/enterprise/security_response/weblog/2007/01/multiple_organizations_targett.html

Vaaaaaaaaaale. 2003 entra dentro de la TWC y es "más seguro" que 2000, pero eso es fácil... ;-)

Por cierto, no he dicho que OO.org no vaya a tener problemas de 0day. Si nos acogemos a la definición más “dura”, para que una vulnerabilidad fuese clasificada como 0day se debería descubrir mientras está siendo aprovechada activamente. Y eso NO ha ocurrido todavía con OO.org. Por eso hablo de que HOY POR HOY, usar Microsoft Office... es un sinvivir. Es un hecho. HOY POR HOY, usar OO.org supone un capa adicional de seguridad, que no la panacea, claro.

Es curioso que todo el mundo vea posturas radicales en cualquier opinión... tipo: "si dices que A es cierto, entonces deduzco de tus palabras que opinas que un B arbitrario aportado por mí, tiene que ser falso por narices".

Lo que dice Juanma Merino es cierto. Mi recomendación de OO.org va dirigida hacia los usuarios de casa principalmente. Corporativamente hablando, tengo opiniones que pueden variar según el entorno. Sólo los que han administrado una red más o menos decente saben qué carencias tienen algunos programas que otros califican de cuasi “perfectos”.

Aun así, insisto, durante los últimos meses, usar MS Office ha tenido y tiene mayor peligro que cualquier otra solución. Y la situación irá a peor.

Posted by: De Los Santos at enero 31,2007 13:35
Re: Y con esta van...

Suma y sigue. Ahora en todas las versiones de MS Office. ¿Todas? No... se salva MS Office 2007. :-)

http://www.microsoft.com/technet/security/advisory/932553.mspx

Posted by: De Los Santos at febrero 03,2007 14:19
Trackbacks
Por favor envía los trackbacks a: http://blog.hispasec.nospam/laboratorio/190/tbZ3ping
Reemplazando "nospam" por "com"
No hay trackbacks.
Enviar un comentario

La publicación de comentarios está deshabilitada. Visita el nuevo blog