Actualizaciones incomprensibles

Buenas,

Me acaban de saltar unas actualizaciones en mi terminal Windows XP. En vez de hacer uso del modo metralleta de instalación (ese que consiste en pulsar 10 veces por segundo Siguiente, Siguiente, Siguiente) suelo procurar documentarme sobre lo que estoy instalando. Bueno, mejor dicho, trato de comprender lo que el fabricante dice que va a instalar.

Habitualmente resulta fácil comprender, bien por la propia aplicación de actualización, bien por el artículo que tenga asociado, de qué va el asunto. Y digo habitualmente porque hoy creo que no me está resultando tan fácil.

actualizacion incomprensible

Para la tercera actualización, el texto descriptivo dice lo siguiente:

Tamaño: 1,5 MB

Instale esta actualización para evitar que las aplicaciones envíen demasiadas solicitudes HTTP mientras se incluye una definición de tipo de documento (DTD) conocida. Después de instalarla, es posible que deba reiniciar el equipo.

Obtenga más información acerca de esta actualización en http://support.microsoft.com/kb/973687

Afortunadamente, cuando no te queda claro de qué va el asunto, o quieres más información, los amigos de Redmond te ponen un enlace al KB correspondiente, en el que puedes obtener información extendida. Como no me termina de quedar claro qué puede pasar si no evito que las aplicaciones envíen demasiadas solicitudes HTTP mientras se incluye una definición de tipo de documento (DTD) conocida, decido hacer uso del KB.

Y esto es lo que me encuentro:

actualizacion incomprensible

El título del artículo reza lo siguiente:

Cuando una aplicación utiliza MSXML para proceso XHTML, las solicitudes de recuperación redundantes para los archivos DTD conocidos desde el servidor Web de W3C provocar XHTML analizar un error en un equipo basado en Windows

¿Esto es lo que se supone que un usuario de a pie tiene que comprender sobre un parche? De momento he cancelado la actualización, dejaré el asunto pendiente para otro día en el que mi comprensión escrita esté a mejores niveles que hoy. Entiendo que este follón gramatical está causado por el traductor automático, y me queda perfectamente claro que en el artículo se cita una exención de responsabilidad al respecto, pero cuando pasan estas cosas no termino de ver que se esté cuidando el servicio para que cualquier usuario con un mínimo de interés pueda entender cómodamente qué cambios de proponen para el sistema operativo.

Bien es cierto que esto no es la tónica habitual, y que los KB habitualmente están mucho mejor traducidos y explicados. No menos cierto es que muchos dirán que los KB no son para usuarios de a pie, sino para personal técnico o usuarios con experiencia. En ese caso, ¿no nos estamos dejando en el camino al principiante? Creedme que no me quiero poner en la piel de un primerizo que ha desembalado el PC ayer por la tarde y que hoy merienda este asunto.

Por cierto, la primera actualización de la lista tampoco tiene desperdicio:

Tamaño: 507 KB

Instale esta actualización para resolver los problemas derivados de la legislación revisada sobre el horario de verano y la zona horaria en varios países. Esta actualización permite al equipo ajustar automáticamente el reloj del equipo en la fecha correcta de 2009. Después de instalarla, es posible que deba reiniciar el equipo.

Obtenga más información acerca de esta actualización en http://support.microsoft.com/KB/976098

No sé qué me produce más nerviosismo, si la idea de que mi equipo puede tener una fecha incorrecta, o que tengo que intervenir para resolver problemas legislativos relacionados con el horario de verano.

Un saludo :)

Alerta: Nuevo zero-day en Internet Explorer permite la contaminación remota de equipos con tan sólo visitar páginas Web

Buenas,

Un amigo me ha pasado un enlace relacionado con Internet Explorer que promete traer cola en los próximos días.

El código de este zero-day se publicó el pasado viernes en Bugtraq. Symantec ha realizado un pequeño análisis y ha confirmado la validez del mismo, recordándonos a todos que una vez que el exploit ha sido liberado es sólo cuestión de tiempo que se refine y empiece a ser usado de una manera intensiva por parte de los amigos de lo ajeno. No es descartable que la vulnerabilidad se haya estado utilizando antes de que haya visto la luz de una manera más privada, ya que es el típico caso que en los mercados se cotiza muy al alza, y por el que muchos desembolsan cantidades importantes de dinero para explotar alegremente el problema pasando totalmente inadvertidos.

Según la información publicada, que tampoco es que sea precisamente abundante, el exploit afecta a las versiones 6 y 7 de Internet Explorer con JavaScript activado. Pese a ser versiones obsoletas del navegador, se estima que en torno al 40% de la cuota de mercado en cuanto a navegadores corresponde a las versiones citadas, con lo que existe mercado más que suficiente para que los ataques se repitan sistemáticamente. De todos es conocido también que gestionar y mantener el nivel de parche no es precisamente una virtud del público en general, con lo que este factor incrementará la rentabilidad y longevidad del problema.

Mediante este ataque los atacantes sólo tienen que insertar el exploit en páginas Web bajo su control y forzar al usuario a que visite los enlaces (algo secillo de conseguir), lo que permitiría infectar a los usuarios con el mero hecho de visitar los contenidos. Parece claro que esto será utilizado para contaminar los equipos con malware financiero, y en el mejor de los casos, por llamarlo de alguna manera, para integrar máquinas en botnets.

El problema parece residir en la manera en la que Interrnet Explorer procesa la información de las hojas de estilo CSS (Cascading Style Sheets). Hasta que el fabricante solucione el problema, lo cual debería suceder relativamente pronto y probablemente, dada la extrema gravedad del problema, fuera del ciclo mensual de actualizaciones, se recomienda a los usuarios de Internet Explorer que desactiven JavaScript y que no visiten sitios Web que no sean de la más estricta confianza. Habida cuenta que las casas trabajan ya en la elaboración de firmas específicas para este problema, es extremadamente importante mantener actualizados los antivirus.

Un saludo,