Windows Update Instala una versión Desactualizada de Flash ActiveX en Windows XP

Ayudanos, compartiendo en tus redes sociales!

No tengo nada encontra de Microsoft, ni de Microsoft Windows, es mas, varias veces hube de escribir sobre productos y servicios de Microsoft, muchos uso, muchos no, muchos uso y no he escrito nada referente; es decir, no tengo ningun tipo de sentimiento en contra de Microsoft como muchos tal vez si, pero lo que estoy apunto de tratar realmente hay que decirlo, y es simplemente algo al cual debemos preocuparnos y así también, debemos de hacernos la pregunta: ¿ Por Qué Microsoft en Microsoft Windows realmente no piensa en nuestra seguridad?.-

El caso comienza así, leyendo un poco Seclists, me encuentro con un articulo que no pude dejar de pasar por alto.-

Stefan Kanthake nos comenta sobre cómo Microsoft Update instala una versión desactualizada de un producto, sin aviso y sin asco alguno, pasando a dejar todo nuestro OS desactualizado e inseguro.  Cuenta que el control Flash Player ActiveX para Windows XP que se instala desde Windows Update esta desactualizado y no tiene soporte de parte de Adobe.

Este seria el historial de este ActiveX

* Windows XP RTM ( Version original sin Service Pack ) instala Flash Player ActiveX control SWFLASH.OCX v5.0r42

* Windows XP Service Pack 1 actualiza SWFLASH.OCX a v5.0r44

* Windows XP Service Pack 2 (released Agosto 2004) reemplaza SWFLASH.OCX con FLASH.OCX v6.0r79

* Security update KB913433 ( <http://support.microsoft.com/kb/913433>
y<http://www.microsoft.com/technet/security/bulletin/ms06-020.mspx>)
actualiza a FLASH.OCX to 6.0r84

* Security update KB923789 ( <http://support.microsoft.com/kb/923789>
y<http://www.microsoft.com/technet/security/bulletin/ms06-069.mspx>)
actualiza a FLASH.OCX to 6.0r88

* Windows XP Service Pack 3 (released en Abril 2008) contiene el mismo FLASH.OCX v6.0r79 como el Service Pack 2, Ninguna de las actualizaciones desde SP2 fueron aplicadas.

Según Kanthak Adobe dejo de dar soporte directo para la versión de Flash Player 6 a finales del 2005 la ultima versión data de noviembre de ese año y es la 6.0r79. (http://www.adobe.com/go/tn_14266)

Es decir, todas las versiones que fueron aplicadas despues, fueron solo distribuidas por Microsoft.

Pero, eso no es nada, Kanthak da un ejemplo:

* Comencemos con un Windows XP con Service Pack 3 con todos los patchs y la versión actual de Adobe Flash Player ActiveX v10.0r22.87 .

Dado que los instaladores de Flash Player quitan versiones anteriores del control ActiveX, esto significa que tanto FLASH.OCX o SWFLASH.OCX no se encuentran presentes en %SystemRoot%\System32\Macromed\ o %SystemRoot%\System32\Macromed\Flash\

* Instalemos un software cualquiera que instale un control Flash Player
ActiveX previo a 6.0r88, por ejemplo el CD-ROM “MSN 9.6-PROD”, part no. X14-85160-02 DE de Microsoft; este CD-ROM contiene el producto “Digital Image Standard Edition 2006” v11.1 de 2007-01-29, que instala una versión desactualizada y vulnerable de FLASH.OCX v6.0r29 en
%SystemRoot%\System32\Macromed\ (http://www.microsoft.com/downloads/details.aspx?FamilyID=7c3b3ded-a15f-48c5-b724-7796fe8c151e)

El intento de instalar el Flash Player ActiveX anterior a la version 6.0r88 sobre una version posterior no da ningun aviso, dado que desde esta version Adobe creo deny ACLs en
%SystemRoot%\System32\Macromed\Flash\FLASH*.OCX y en las entradas del registro que previenen a versiones anteriores sobreescribirlas, entonces las versiones de Flash Player ActiveX 6.0r88 y posteriores son preservadas.

Pero si instalamos el Windows Update KB923789 o esperamos a que Windows Update entre en acción éstos resetean las entradas de la registry para ser reescritas permitiendo a futuro la posibilidad de sobreescribir con versiones anteriores.

Me pregunto, ¿Estamos realmente seguros en nuestros equipos con Microsoft Windows?.-

Pueden leer el articulo completo aqui, donde el autor es un poco mas rudo con la empresa Microsoft.-

Si te gustó, no te olvides de ayudar compartiendo en las Redes Sociales!