Fiel a la cita de los segundos martes de cada mes Microsoft publica las actualizaciones de seguridad correspondientes, en esta ocasión, al mes de junio. Se trata de dos boletines destinados a solucionar problemas, considerados como moderados, en el componente DirectPlay y en el visor web de Cristal Reports.

La primera de las actualizaciones, afecta a Windows 2000, Windows XP, Windows Server 2003, Windows 98 y Windows Millennium Edition (Me). Según anuncia Microsoft en el propio boletín, la actualización resuelve una nueva vulnerabilidad, reportada de forma privada. Se trata de una denegación de servicio en la implementación de la API IDirectPlay4 de Microsoft DirectPlay debido a una falta de validación de paquetes robusta.

Si un usuario ejecuta una aplicación DirectPlay en red, un atacante que logre explotar con éxito esta vulnerabilidad podrá provocar que la aplicación deje de funcionar. Será necesario reiniciar la aplicación para restaurar la funcionalidad.

Las direcciones de descarga se encuentran en:
Microsoft Windows 2000
http://www.microsoft.com/downloads/d...displaylang=en
Microsoft Windows XP
http://www.microsoft.com/downloads/d...displaylang=en
Microsoft Windows XP 64-Bit Edition Service Pack 1
http://www.microsoft.com/downloads/d...displaylang=en
Microsoft Windows XP 64-Bit Edition Version 2003
http://www.microsoft.com/downloads/d...displaylang=en
Microsoft Windows Server 2003
http://www.microsoft.com/downloads/d...displaylang=en
Microsoft Windows Server 2003 64-Bit Edition
http://www.microsoft.com/downloads/d...displaylang=en

El segundo de los boletines resuelve una nueva vulnerabilidad en Crystal Reports y Crystal Enterprise desde Business Objects. Por otra parte, Visual Studio .NET 2003 y Outlook 2003 con Business Contact Manager incluyen Crystal Reports y también están afectados por la vulnerabilidad. Microsoft Business Solutions CRM 1.2 redistribuye Crystal Enterprise, que también se ve afectado de la misma forma.

Un atacante que explote exitosamente este problema podrá recuperar y borrar archivos a través de los visores web de Crystal Reports y Crystal Enterprise de los sistemas afectados. El número de archivos que pueden verse afectados dependerá del contexto de seguridad del componente afectado que se use por el visor web de Crystal.

Las direcciones de descarga se encuentran en:
Visual Studio .NET 2003
http://www.microsoft.com/downloads/d...displaylang=en
Outlook 2003 con Business Contact Manager
http://www.microsoft.com/downloads/d...displaylang=en
Microsoft Business Solutions CRM 1.2
http://go.microsoft.com/fwlink/?LinkId=30127


Más Información:

Microsoft Security Bulletin MS04-016
Vulnerability in DirectPlay Could Allow Denial of Service
http://www.microsoft.com/technet/security/bulletin/MS04-016.mspx

Microsoft Security Bulletin MS04-017
Vulnerability in Crystal Reports Web Viewer Could Allow Information
Disclosure and Denial of Service
http://www.microsoft.com/technet/security/bulletin/MS04-017.mspx

Fuente: Hispasec