Wednesday, April 22, 2009

Peor el remedio que la enfermedad


Esto que les voy a contar me recordó la Naranja Mecanica, quienes hayan leido el libro o visto la película recordaran el tratamiento Ludovico al que era sometido el protagonista para eliminar su violencia innata.

Tanto el libro como la película son bastantes gráficos al describir en que consistía el tratamiento, como resultado el protagonista se vuelve un ser que no puede actuar violentamente bajo ninguna circunstancia lo cual si bien era el objetivo de la cura, de allí en adelante Alex estara completamente desarmado ante una sociedad violenta.

Ya habíamos hablado del efecto placebo o patchebo el cual hacia que reparaba, pero en verdad en ciertos casos nos dejaba igual que antes.

Parece ser que Microsoft ha aplicado algunas actualizaciones de bugs que como efecto colateral, junto con las actualizaciones se instalan Dlls desactualizadas. Dejándonos peor que antes !!!


Visitamos Stefan Kanthak en Alemania y mientras tomamos unos mates nos cuenta que el control Flash Player ActiveX para Windows XP que se instala desde Windows Update esta desactualizado y no tiene soporte de parte de Adobe.

Este seria el historial de este ActiveX

* Windows XP RTM ( Version original sin Service Pack ) instala Flash Player ActiveX control SWFLASH.OCX v5.0r42

* Windows XP Service Pack 1 actualiza SWFLASH.OCX a v5.0r44

* Windows XP Service Pack 2 (released Agosto 2004) reemplaza SWFLASH.OCX con FLASH.OCX v6.0r79

* security update KB913433 ( <http://support.microsoft.com/kb/913433>
y<http://www.microsoft.com/technet/security/bulletin/ms06-020.mspx>)
actualiza a FLASH.OCX to 6.0r84

* security update KB923789 ( <http://support.microsoft.com/kb/923789>
y<http://www.microsoft.com/technet/security/bulletin/ms06-069.mspx>)
actualiza a FLASH.OCX to 6.0r88

* Windows XP Service Pack 3 (released en Abril 2008) contiene el mismo FLASH.OCX v6.0r79 como el Service Pack 2, Ninguna de las actualizaciones desde SP 2 fueron aplicadas.

Según Kanthak Adobe dejo de dar soporte directo para la versión de Flash Player 6 a finales del 2005 la ultima versión data de noviembre de ese año y es la 6.0r79.

Versiones posteriores solo fueron disponibles en Microsoft .


1,2 ultraviolento, 1,2 ultraviolento !!!



Para que no queden dudas de lo que habla, Kanthak da un ejemplo mientras se escucha de fondo el tema de los violadores, ultraviolento.

* Comencemos con un Windows XP con Service Pack 3 con todos los patchs y la versión actual de Adobe Flash Player ActiveX v10.0r22.87 .

Dado que los instaladores de Flash Player quitan versiones anteriores del control ActiveX, esto significa que tanto FLASH.OCX o SWFLASH.OCX no se encuentran presentes en %SystemRoot%\System32\Macromed\ o %SystemRoot%\System32\Macromed\Flash\

* Instalemos un software cualquiera que instale un control Flash Player
ActiveX previo a 6.0r88 (según el autor hay muchos productos que lo hacen).

Por ejemplo el CD-ROM "MSN 9.6-PROD", part no. X14-85160-02 DE de Microsoft;

Este CD-ROM contiene el producto "Digital Image Standard Edition 2006" v11.1 de 2007-01-29, que instala una versión desactualizada y vulnerable de FLASH.OCX v6.0r29 en
%SystemRoot%\System32\Macromed\

Debemos tener en cuenta que el instalador fue creado después del patch KB923789, pero no fue incorporado !!! dice gesticulando ampulosamente.


Ahora Kanthak se levanta de la mesa, furioso y me dice en un aleman crudo casi inentendible

Si no queres instalar ese producto podes probar con el Windows Update KB913433
extrae el instalador de Flash Player ActiveX INSTALL_FP6_WU.EXE
y ejecutalo.

El intento de instalar el Flash Player ActiveX anterior a la version 6.0r88 sobre una version posterior no da ninguna alarma. Dado que desde esta version Adobe creo deny ACLs en
%SystemRoot%\System32\Macromed\Flash\FLASH*.OCX y en las entradas del registro que previenen a versiones anteriores sobreescribirlas, entonces las versiones de Flash Player ActiveX 6.0r88 y posteriores son preservadas.

Pero si instalamos el Windows Update KB923789 donde el instalador de Flash Player ActiveX ha sido incorporado, este resetea las entradas de la registry para ser reescritas permitiendo a futuro la posibilidad de sobreescribir con versiones anteriores.

Dejamos al simpatico aleman, y nos retiramos pensando, cuantas cosas desactualizadas estaran en nuestros equipos ahora mismo ?

Yo por lo pronto voy a escuchar al genial Ludwig van Beethoven

fuente : bugtraq

No comments: