Otra
vez, y es la tercera en pocos meses. Microsoft ha eliminado uno de los últimos
parches publicados dentro del conjunto de boletines de seguridad de diciembre
publicado el pasado martes (del
que ya efectuamos un resumen). En esta ocasión en concreto, los problemas son para los usuarios de
Exchange 2010 tras la instalación de la actualización MS14-075.
Microsoft ha retirado la
actualización 2986475 para Exchange Server 2010 SP3 perteneciente al boletín
MS14-075 del "Download Center".
También se ha retirado Exchange
Server 2010 SP3 Update Rollup 8 que además de otras correcciones y mejoras
incluía la solución de las vulnerabilidades indicadas en el boletín MS14-075.
Según ha confirmado la propia
Microsoft un problema en la actualización impide a Outlook conectar con
Exchange. Además recomienda a todos los usuarios que hayan implementado la
actualización volver a la versión anterior. Esta acción será necesaria con el
fin de restaurar cualquier pérdida de conectividad de Outlook.
Este boletín estaba calificado
como "importante" y
solucionaba soluciona cuatro vulnerabilidades de elevación de privilegios en
Microsoft Exchange Server. (CVE-2014-6319, CVE-2014-6325, CVE-2014-6326 y
CVE-2014-6336). Las actualizaciones para Microsoft Exchange Server 2007 y 2013
no se ven afectadas por esta incidencia.
Curiosamente esta actualización
fue una de las que dentro del conjunto de actualizaciones de noviembre
sufrieron un retraso. Parece que el "tiempo
extra" no fue suficiente.
Esta es la tercera ocasión en los
últimos cinco meses que Microsoft se ve obligada a retirar alguno de sus parches
por algún problema. En agosto fue una "pantalla
azul de la muerte" tras
la instalación del MS-045 en casos concretos con fuentes OTF (OpenType
Font) instaladas en directorios no estándar. En
septiembre los afectados fueron los usuarios de Lync 2010. En esta ocasión el problema parece mucho
más obvio y que puede afectar a un mayor número de usuarios.
Dentro de unos días, tal y como ha
ocurrido en las anteriores ocasiones Microsoft volverá a publicar la
actualización con todos los problemas ya solucionados. Microsoft establece
grandes controles antes de publicar un parche, resulta complejo evaluar una
actualización en todas las posibles configuraciones, idiomas, versiones, etc.
Pero parece ser que estos problemas se están haciendo más comunes de lo que
cabría esperar. Esperamos, por la tranquilidad de todos, que no se vuelvan a
repetir.
Más información:
una-al-dia (17/08/2014) Microsoft
recomienda desinstalar la actualización MS14-045
una-al-dia (15/09/2014) Nuevo
problema en las actualizaciones de Microsoft
una-al-dia (09/12/2014) Boletines
de seguridad de Microsoft de diciembre
Microsoft Security Bulletin MS14-075 -
Important
Vulnerabilities in Microsoft Exchange Server
Could Allow Elevation of Privilege (3009712)
Exchange releases: December 2014
Antonio Ropero
Twitter: @aropero
