Servicio de Due Diligence

Páginas

martes, 31 de mayo de 2011

¿Que clase de CIO IT (Chief Information Officer) es usted?

Aunque se vea sorprendente, las suposiciones relacionadas con la gente en general -especialmente referente a sus actitudes, creencias y comportamientos relativos al trabajo-, afectan en gran medida el ambiente de trabajo.
Teniendo en cuenta los dos puntos y pensamientos siguientes, ¿cual de ellos representa mejor su manera de pensar?


1º Afirmación propuesta:


A las personas les desagrada trabajar por simple naturaleza y debido a eso lo evita siempre que sea posible. Tienen una ambición muy escasa y les gusta ser dirigidas. Por sobre todo buscan tener seguridad. Para lograr que la gente trabaje, es necesario utilizar la coerción, un estricto control y las amenazas de castigo. 


2º Afirmación propuesta:



El trabajar es tan natural para las personas, como descanzar o recrearse. El control de manera externa y las amenazas no son la única vía, ni tampoco la mejor, de conseguir que las personas trabajen. Si a estas se les da la oportunidad, la mayoría de ellas serán capaces de controlarse y dirigirse a si mismos. El ser humano promedio no solo aprende a adquirir responsabilidades, sino que además las busca, si se brinda esa posibilidad y se ofrecen recompensas pertinentes a sus esfuerzos y logros.


Lo mas probable es que usted esté de acuerdo totalmente con una de estas dos teorías, pero casi seguro que se inclinará mas hacia alguna de ellas.


Eliminando el castigo.


Si el CIO IT da por sentado que el ser humano es básicamente un ser haragán, lo mas probable es que haya generado un clima de trabajo "totalmente controlado": donde presta demasiada de su atención en controlar si los colaboradores llegan o no a tiempo a trabajar; siente que debe establecer reglas para todo (o casi todo) y chequea luego de que estas se cumplan; descompone las tareas en varios pasos simples y divide las responsabilidades en "hacer" y "chequear"; organiza las cosas de manera tal que una persona actúe y la otra persona verifique si el trabajo está correctamente realizado.
Si pertenece a esta clase de CIO, es seguro que tiene dificultades en la delegación de tareas, particularmente si el trabajo es de un carga de importancia muy alta.
Posiblemente, de forma subconsciente, usted esté utilizando el método recompensa y castigo con su equipo de colaboradores.
Para atraer buenos colaboradores, usted ofrece salarios o pagos por hora un poco mas elevados que los del promedio del mercado y da mucha relevancia al potencial de crecer junto con la empresa. Como teme que sus mejores colaboradores puedan abandonarlo, se muestra reticente a la hora de compartir mucha información sobre el área con ellos.
Finalmente, a medida que el área de TI crece, ha creado una capa de managers, supervisores y controladores de calidad. Por cada 4 colaboradores por ejemplo, usted tiene una persona de confianza que supervisa las tareas de los demás.


Flexibilidad.


Si usted cree que su gente se encuentra realmente motivada, su acercamiento como manager de TI será realmente diferente.
Seguramente generará un ambiente de trabajo muy flexible, Desarrollará pocos y simples procedimientos. No le interesará tanto como se realiza el trabajo, en tanto y en cuanto este esté bien realizado. Se siente mas cómodo dando instrucciones generales y dejando que los empleados realicen el trabajo respetando su know how.
En vez de dividir los trabajos en pequeñas porciones, le asigna a un colaborador un proyecto completo. Posee pocos supervisores, ya que considera que cada colaborador debe controlar sus propias tareas diarias. Aunque, de todos modos, puede tener una tendencia a delegar demasiado.


Algo muy importante, es que la diferencia con el jefe que controla mucho es que este presta mas su atención a la forma que sus colaboradores obtienen los resultados, en cambio, el jefe flexible atiende, de manera muy estricta, a los resultados en si mismos. Este último puede ser muy duro si los resultados no son los esperados, pero siempre tiene la tendencia a motivar a sus colaboradores en lugar de criticarlos.
Con respecto a los sueldos, este tipo de CIO IT confía más en los incentivos que en los básicos. No cree que la gente trabaja solo por el dinero y nada mas, por eso utiliza también otros métodos para reconocer el esfuerzo de sus equipo.
Algo de mucha importancia es que pasa mucho tiempo hablando con sus colaboradores, en referencia a los negocios y la misión del equipo dentro de la organización y específicamente dentro del área de TI. Comparte la información referente a las ventas, a la competencia y a las ganancias. Finalmente, a medida que el negocio crece piensa muchas veces antes de incorporar mas supervisores por el hecho de no querer generar mas burocracia.


¿Cual es el mejor?


Estos dos modelos detallados arriba se refieren a la clásica teoría de "X" e "Y", presentada originalmente por Douglas Mc. Gregor en 1960. Mc. Gregor decía que las afirmaciones de la teoría 1 (dominante en esa época) eran totalmente erróneas y entonces proponía que los CIOs que adoptaran la postura 2 verían y serían reconfortados por los beneficios que esta segunda teoría trae consigo. A partir de ese momento, muchas investigaciones trataron de determinar cual de las dos posturas era la mas conveniente. Pero todavía no tenemos respuestas convincentes a este interrogante.


No existe ninguna evidencia de que el ser humano esté orientado de forma natural hacia el trabajo libre y tampoco de que esté orientado hacia un trabajo controlado. Esto no sugiere que sus suposiciones acerca de la gente no cuenten. Y para agregar mas, se dan muy buenas razones para manejar su área de TI de modo flexible:


1) El trabajo que lo detalla el punto 1 prácticamente ya no existe, puesto que no podemos reducirlo a simples tareas como alguna vez lo fue. El mundo de los negocios se vuelve cada vez con características mas complejas debido a la innovación de la tecnología.


2) El dinamismo y volatilidad de los negocios hace difícil que cualquier compañía garantice 100% trabajo seguro. En estos días se debe ofrecer algo mas que eso.


3) E viejo concepto de que el trabajo es un simple intercambio primario ha perdido su veracidad. Si sus colaboradores trabajan solo por el sueldo, probablemente no le estén brindando su mayor y mejor esfuerzo. Para sostener un área de TI eficiente en estos tiempos tan cambiantes y competitivos, es necesario un nivel muy alto de performance de todos sus colaboradores, todo el tiempo.


4) Las claves del éxito para estos tiempos son: innovación rápida y constante, alta calidad en los servicios que el área le presta a la empresa.
Empleados poco comprometidos no producirán lo que su área de TI necesita para sobrevivir como tal.


5) No es posible confiar en el control y la estricta supervisión para que su equipo de colaboradores funcione. Emplear mas supervisores es muy caro y va en detrimento de la productividad laboral.


Entonces, ¿que es lo que deberá cambiar el CIO de TI para que sea un área eficiente?. Hable con su equipo de trabajo para obtener el feedback que necesita para que esos cambios sean una realidad. Nunca se deje al azar y tampoco "suponga" que esto debería ser "así o asa", recuerde que ud. (CIO de TI) también es parte del equipo.

lunes, 30 de mayo de 2011

Entendiendo el modelo OSI

El Modelo OSI.

El modelo de red que hablamos hoy es el modelo OSI. Es el principal modelo para toda comunicación en redes, en estos tiempos la mayoría de los fabricantes de equipos para infraestructura de redes normalizan sus productos con el modelo de referencia OSI. Los fabricantes entienden que es el mejor medio disponible para enviar y recibir datos a
través de una red.


En el modelo de 7 capas llamado OSI, estas siete capas están numeradas, donde cada una de las cuales equivale a una característica de red específica. Esta división de las características o funciones del networking se denomina división en capas. Si su red se divide en estas siete capas, se obtendrá las siguientes ventajas:


• Dividir la comunicación de red en porciones más pequeñas y simples.
• Normalizar los componentes de red para permitir el desarrollo y el soporte de los productos de cualquier fabricante.
• Permitir a los diferentes tipos de hardware y software de red comunicarse entre sí.
• Impedir que los eventos que sucedan en una capa puedan afectar a las demás capas.
• Dividir la comunicación de red en porciones más pequeñas para simplificar el conocimiento sobre las mismas.



El trabajo de transmitir información entre diferentes host se divide en siete trabajos más pequeños y de tratamiento más simplificado en este modelo OSI. Cada uno de los siete trabajos está representado por su propia capa en el modelo.



Las siete capas del modelo de referencia OSI son:

Capa 7: La capa de aplicación
Capa 6: La capa de presentación
Capa 5: La capa de sesión
Capa 4: La capa de transporte
Capa 3: La capa de red
Capa 2: La capa de enlace de datos
Capa 1: La capa física


Algunos términos que se usarán son Host, o sea cualquier “cosa” que pueda establecer una comunicación, un ordenador, impresora, router, switch, etc. 

Networking, Desempeño, trabajo en red e interconexión de Hosts.


Capa 1: La capa física:

Continene todas las especificaciones sobre estándares eléctricos, mecánicos y de funcionamiento para atender los requerimientos (activación/desactivación) del conexionado físico entre sistemas de infraestructura.
Las características tales como los niveles de voltaje, tiempo entre cambios de voltaje, velocidad de datos sobre los medios físicos, distancias máximas de transmisión, conectores y otros elementos similares son definidos por las especificaciones de la capa física.


ENTONCES: Capa 1: Los Medios y las Señales.


Capa 2: La capa de enlace de datos:


Esta segunda capa proporciona el tráfico de datos de manera efectiva a través del enlace físico. Esta capa de enlace de datos asegura el direccionamiento físico (en comparación con el direccionamiento lógico) la topología de red subyacente, el modo de acceso a la red, la administración de errores, despacho ordenado de tramas y el control del flujo de datos.


ENTONCES: Capa 2: Despacho de tramas y control de acceso al medio.


Capa 3: La capa de red:


Proporciona la conectividad y la selección de la mejor ruta entre dos hosts que puedan estar distribuidas geográficamente en diferentes redes.


ENTONCES: Capa 3: Es la selección de la mejor ruta, direccionamiento y enrutamiento entre hosts.


Capa 4: La capa de transporte:


Aquí se segmentan los datos provenientes en el host emisor, para luego ser reensamblados en una conjunto de datos dentro del host receptor y suministra el servicio de transporte de dichos datos por medio de un servicio confiable de comunicaciones.
Al proporcionar esta un servicio confiable y eficiente de comunicaciones, la capa de transporte establece, mantiene y termina de una manera adecuada y eficiente, los circuitos virtuales de transferencia de datos.
Al proporcionar un servicio de confiabilidad, se debe a que se utilizan dispositivos de detección y recuperación de errores durante el transporte propiamente dicho.


ENTONCES: Capa 4: Calidad de servicio de transporte y confiabilidad en los datos.


Capa 5: La capa de sesión:


Esta capa establece, administra y cierra las sesiones entre dos hosts que se requieren para comunicarse y también ofrece características para una transferencia de datos de manera eficiente, clase de servicio y un registro de las excepciones acerca de los inconvenientes o problemas de la capa de sesión, 
aplicación y presentación.

ENTONCES: Capa 5: Sesiones, diálogos y conversaciones
 entre hosts.

Capa 6: La capa de presentación:


Esta capa de presentación se ocupa de garantizar que la información que fluye en la capa de aplicación de un sistema cualquiera, pueda ser leída por la capa de aplicación de otro sistema, o sea que es capaz de traducir y seleccionar entre varios formatos de datos para que, solamente se utilice un formato común entendible para los emisores/receptores.


ENTONCES: Capa 6: Formato de datos común entre host.


Capa 7: La capa de aplicación:


Esta capa es la que está más cerca al usuario la cual suministra los servicios de red a las distintas aplicaciones que utiliza el usuario final, define el nivel de  disponibilidad con respecto a la comunicación, también se encarga de sincronizar y establecer diferentes métodos sobre los procedimientos para la recuperación de errores y también establece el control sobre la integridad de los datos que manejan estas aplicaciones de usuario.


ENTONCES: Capa 7: Servicios de red para las aplicaciones de usuario.


De todos modos veremos las que comúnmente llamamos "capas inferiores", o mejor llamadas capas de flujo de datos, las cuales son:


Capa 4: La capa de transporte
Capa 3: La capa de red
Capa 2: La capa de enlace de datos
Capa 1: La capa física


Cómo es de su conocimiento, esta capa física no depende de ninguna otra capa ya que es la primera de todas las capas del modelo OSI y solamente da servicios a las capas que estén por encima de ella.



De todos modos, la capa llamada "de aplicación" no presta servicio a ninguna otra capa, ya que es la última y lógicamente, se apoya en las capas ubicadas debajo de ella.


Lo que tiene en cuenta cada capa:

1º) Cada una de las capas utilizan sus propios medios, métodos y maneras de comunicación, así como también su propia forma de interpretarla.

2º) Cada una de las capas pueden utilizar sus propios protocolos de transmisión/comunicación, donde estos protocolos son "el lenguaje" que utilizan para comunicarse cada una de las capas entre sí.
3º) Los dispositivos de red que se utilizan en una LAN o en una WAN también pueden utilizar una o varias de esas capas, donde por ejemplo, un router opera en capa 3, un Switch funciona
 en capa 2, un hub trabaja en capa 1, los routers trabajan o pueden trabajar en las capas 1-2-3, etc...
Aunque hay switches que permiten hacer ruteos por lo que se los califica de trabajar en la capa 3.


Las capas y sus protocolos.

Capa 1: interfaces físicas (y no todas, p.e. las tarjetas de red serían de capa 2 pero incluyen componentes de capa 1), cableado, señales, etc..



Capa 2: IEEE 802.3 más conocido como Ethernet (CSMA/CD), IEEE 802.5 (token passing), FDDI token passing, VLANs, ATM Adaptation Layer, ISDN, Frame Relay, PPP, SMDS, HDLC, LAP-A, 802.2 (etiquetado de tramas)


Capa 3: IP,SLIP, ARP, OSPF, IGRP, GGP, EGP, BGP, RIP, ICMP, IPX, X.25,...

Capa 4: TCP, UDP, SPX, NetBEUI..

Capa 5: LDAP, el archiconocido RPC, SCP, SQL,

Capa 6: LPP, XDR, NetBIOS, NCP, X.25 PAD,...

Capa 7: HTTP, FTP, Telnet, SMTP, DNS, SNMP, DHCP, BOOTP, NTP, TFTP, NDS...

OSI no es el único modelo de referencia, ya que es muy habitual utilizar "otro" modelo, el llamado TCP/IP (Protocolo de control de transmisión/Protocolo de Internet).

Modelo TCP/IP (Protocolo de control de transmisión/Protocolo de Internet).

Aunque el modelo que hablamos mas arriba, el llamado modelo OSI, sea muy aceptado y reconocido, desde un punto de vista histórico y técnico el estándar abierto de Internet es el Protocolo de control de transmisión/Protocolo Internet (TCP/IP).

El modelo TCP/IP se estructura en 4 capas, aunque a veces se lo detalla con cinco, donde estas capas son las siguientes:

Capa de Acceso a la Red, Capa de Internet, Capa de Transporte y la Capa de Aplicación.

Capa de acceso a la red:

También se la llama capa de host a la red, la cual se ocupa de todos los aspectos que tienen que ver con cada paquete IP para realizar perfectamente el enlace físico y posteriormente realizar otro enlace físico. En esta capa se incluyen las características de las tecnologías LAN y WAN y todas las características de las capas físicas y de enlace de datos del modelo OSI.

ENTONCES: Capa de acceso a red se corresponden con las capas 1 y 2 de modelo OSI

Capa de Internet:

La misión de esta capa de Internet es la de enviar paquetes origen desde cualquier red y que estos paquetes lleguen a destino de manera totalmente independiente del ruteo y de las demás redes que hallan recorrido para llegar hasta el destino. El protocolo específico que utiliza esta capa se denomina Protocolo Internet (IP). En esta capa se decide sobre la mejor ruta a seguir y además sobre la conmutación de paquetes.

ENTONCES: Capa de Internet se relaciona con la capa 3 del Modelo OSI

Capa de transporte:

En esta capa llamada de transporte se relacionan a las características de calidad de servicio con respecto a la confiabilidad, el control de flujo y la corrección de errores. El protocolo para el control de la transmisión (TCP), ofrece maneras muy viables y de alta calidad para establecer comunicaciones de red de manera confiables y eficientes, sin inconvenientes en el flujo de datos y con un nivel muy bajo de errores.

TCP es un protocolo orientado a conexión el cual establece un diálogo entre el origen y el destino mientras almacena en paquetes, la información de la capa de aplicación, en otras unidades llamadas segmentos.

Que sea orientado a la conexión no significa que el camino esté establecido específicamente entre los host que están comunicándose (donde esto sería una conmutación de circuito), sino que significa que dichos segmentos viajan de un punto a otro entre dos hosts de manera de corroborar que la conexión exista en forma lógica en un determinado período de tiempo.
Esto es conocido como Conmutación de Paquetes.

ENTONCES: Capa de Trasporte equivale a la capa 4 del modelo OSI

Capa de aplicación:

Los "arquitectos" del TCP/IP pensaron que los protocolos de nivel superior deberían implementar los detalles de las capas de sesión y presentación respectivamente, donde, simplemente desarrollaron una capa de aplicación que administra protocolos de alto nivel, detalles de representación, codificación y control de diálogo.
El modelo TCP/IP contiene todos los detalles relacionados con las aplicaciones solamente en una capa, y garantiza que los datos estén empaquetados de forma correcta.

ENTONCES: La capa de Aplicación equivale a las capas 5,6 y 7 del Modelo OSI

Para tener en cuenta:

El modelo TCP/IP ofrece mucha flexibilidad en la capa de aplicación para los desarrolladores de software.

La capa de transporte utiliza unicamente dos protocolos:

• El protocolo de control de transmisión (TCP)
• El protocolo de datagrama de usuario (UDP).

La capa de nivel inferior, la capa de nivel de acceso a la red, está relacionada con la tecnología específica dependiendo de la LAN o WAN que se utilice.
En el modelo TCP/IP existe un único protocolo de red: el protocolo de Internet, o IP, independientemente de que aplicación esté solicitando los servicios de red o del protocolo de transporte que se utiliza. IP es utilizado como un protocolo universal que deja que cualquier host independientemente del lugar geográfico en que se encuentren, puedan establecer una comunicarse en cualquier instante.

Gráfica del Modelo TCP/IP vs. Modelo OSI.





Las capas y sus protocolos de transmisión.



lunes, 16 de mayo de 2011

Lo que el CIO debe hacer para el aprovechamiento de las TICs, con el objeto de impulsar las Estrategias de la Empresa

Como muchos bien sabemos el CIO (Chief Information Officer) de las empresas que cuentan con un área de Tecnologías de la Información de manera sólida y con una carga de Know How muy alto entre sus colaboradores, y además, que entre sus filas estén los servidores y servicios locales administrados por los propios colaboradores del área de TI; es la persona encargada y con responsabilidad sobre muchos aspectos donde el límite es la empresa en toda su extención. 


Entre estas cosas voy a resaltar dos, por ahora, pero que hablan, mas bien de manera general y no tanto de manera particular; respecto de esto último hablaremos mas adelante.


Entre estas dos cosas están, en primer lugar, la gran tarea de asegurar con "uñas y dientes" que la infraestructura de sistemas de la empresa esté funcionando según lo previsto con valores topes mínimos (Se requieren valores mínimos de un 98% de los servicios disponibles), en cuanto a disponibilidad de todos sus servicios los 365 días del año. En segundo lugar el CIO debe tener muy en claro que tiene entre sus manos (un trabajo en conjunto con sus colaboradores) el área de TI de una empresa, respecto de las cuales sabemos que en estos tiempos globalizados son muy dinámicas por lo que deberán ser muy maleables en consecuencia a los cambios del mercado.



Las empresas innovan y evolucionan constantemente con lo que conlleva a que, tanto la infraestructura de red, como también la infraestructura de sistemas (hardware y software) estén acorde a las necesidades internas de la empresa. Con esto quiero decir que, lo que la empresa necesita para impulsar sus estrategias de negocio "hasta las nubes", es un área de TI, en la cual se encuentre con un CIO IT que reúna un gran conocimiento de estas dos principales características mencionadas, con mente muy abierta, con un liderazgo que "roce" con la excelencia y una relación muy efectiva, con los colaboradores de su equipo de sistemas, que haga que estos últimos sientan en cada célula de su cuerpo que son parte de algo grande, muy grande, que el CIO accione sobre los colaboradores de manera que estos, además de lo dicho anteriormente, sientan que son parte de un mundo globalizado y que sus mentes deberán estar abiertas a cada cambio (aunque sea sutil) que pueda producirse o bien requiera la organización, analizando y respondiendo en consecuencia al "ambiente" empresarial y tecnológico que lo rodea de una manera positiva y, como lo señalé antes, con una mente muy abierta.


Con estos dos aspectos bien firmes en la mente del CIO IT y posterior proyección de esta realidad mental a la empresa en respuesta a los requerimientos de esta de los servicios de TI, por lo que la empresa solo deberá preocuparse por "sus propios servicios o productos" para ofrecerlos al mercado de manera eficiente. La eficacia no es permitida. Solo la eficiencia (en todos los aspectos) lleva al éxito de las áreas de las empresas (en este caso el área de las TICs) y por ende, al éxito de una organización.


El líder de TI tiene en sus manos varias "papas calientes" o también lo llamaremos factores de riesgo, los cuales deberá saber manejarlos con eficiencia para que estas o estos no lleguen a "quemar".
Uno de estos factores de riesgo es que tendrá, entre la cartera de sus decisiones estratégicas y muy bien analizadas, la capacidad de delegar correctamente las tareas "críticas" de alto riesgo a quien de su equipo (o empresa) el crea conveniente, con el objetivo de centrarse en sus propias incumbencias de la gestión de su área y de la relación infaltable e impostergable con el nivel gerencial de la empresa. Esta última relación con los gerentes hace que el CIO de TI conozca, primero, en profundidad el negocio  de la empresa del cual obtiene su trabajo, y segundo y no menos importante, conocer también las necesidades (transmitidas de abajo hacia arriba en la pirámide organizacional) de todas las áreas de la empresa para que el CIO de TI pueda y deba, junto a su equipo, acompañar y corresponder con el negocio troncal de la empresa. Aquí es donde el CIO aportará su mayor valor, estando en conjunción directa con las demás áreas de la organización.


En las empresas es una tarea inútil el llegar a pensar y diseñar las incumbencias estratégicas del área de TI sin acompañar a estas "discusiones", con las estrategias propias de las operaciones de negocio. Estas dos estrategias mencionadas, tendrán que acompañarse siempre una a la otra y nunca deberán distraerse una de la otra. Esto conlleva una comunión eficiente para llevar adelante el negocio troncal.


En cambio si el área de TI no está en comunión con las demás áreas de la empresa y no evoluciona a la par de ellas, la organización no tendrá la capacidad (infraestructura) de adaptarse a los cambios permanentes y permanecer en el mercado de una manera creciente.


En conclusión el CIO del área de TI es la pieza clave, junto a su equipo, en la generación eficiente de negocios de su empresa y en las estrategias de su área de TI.

viernes, 13 de mayo de 2011

Microsoft publica dos nuevas actualizaciones con características "Crítica" e "Importante" para WINS y PowerPoint respectivamente



Boletín de seguridad de Microsoft MS11-035 - Crítico


Una vulnerabilidad en WINS podría permitir la ejecución remota de código (2524426)


Publicado: mayo 10, 2011


Esta actualización de seguridad resuelve una vulnerabilidad en el Servicio de nombres Internet de Windows (WINS). La vulnerabilidad podría llevar a la ejecución de código remoto si un usuario recibe un paquete de réplica de WINS diseñado especialmente en un sistema afectado que ejecuta este servicio WINS. De forma predeterminada, WINS no se instala en ningún sistema operativo afectado ya que solamente los clientes que lo instalaron manualmente, están afectados por este problema.


Esta actualización de seguridad es considerada "crítica" para todas las ediciones compatibles de Windows Server 2003, Windows Server 2008 (excepto Itanium) y Windows Server 2008 R2 (excepto Itanium), en la que se haya instalado WINS. 


Esta actualización de seguridad crítica corrige la vulnerabilidad solucionando un error de lógica que se genera al pasar búferes como parámetros.


Recomendación. Como la mayoría de los clientes tienen habilitada actualizaciones automáticas, no deben preocuparse por realizar ninguna acción porque dicha actualización se descargará e instalará automáticamente. Los clientes que no han habilitado las actualizaciones automáticas, deberán buscar las actualizaciones e instalarlas manualmente.


Para administradores e instalaciones en las empresas, o usuarios finales que tengan que instalar esta actualización de seguridad en forma manual, Microsoft recomienda que apliquen esta actualización inmediatamente con el software administrativo para estas actualizaciones o bien buscar estas actualizaciones con el servicio Microsoft Update.





Boletín de seguridad de Microsoft MS11-036 - Importante


Vulnerabilidades en Microsoft PowerPoint podrían permitir la ejecución remota de código (2545814)


Publicado: mayo 10, 2011


Esta actualización de seguridad repara dos vulnerabilidades en Microsoft PowerPoint. Estas vulnerabilidades podrían permitir ejecución de código remotamente, si un usuario accede a un archivo de PowerPoint especialmente preparado para vulnerar. Un intruso que aprovechara alguna de estas vulnerabilidades podría conseguir el mismo nivel de derechos de usuario que el usuario que ha iniciado la sesión local. Los usuarios cuyas cuentas estén configuradas con menos derechos de usuario en el sistema correrían menor riesgo que los que cuenten con derechos de usuario mas altos como son los administrativos. La instalación y configuración de Validación de documento de Office (OFV) para controlar la apertura de archivos con sospechas de esta vulnerabilidad, bloquea las vías del ataque.


Dicha actualización de seguridad se considera "importante" para las ediciones compatibles de Microsoft PowerPoint 2002, Microsoft PowerPoint 2003, Microsoft PowerPoint 2007, Microsoft Office 2004 para Mac y Microsoft Office 2008 para Mac. La actualización de seguridad también se considera importante para todas las versiones compatibles del Convertidor de archivos con formatos XML abiertos para Mac y Paquete de compatibilidad de Microsoft Office.


Esta actualización corrige dichas vulnerabilidades modificando la forma en que PowerPoint trabaja con la memoria al analizar los archivos de PowerPoint especialmente diseñados.


Recomendación. Los clientes pueden configurar las actualizaciones automáticas para acceder en línea a las actualizaciones de Microsoft Update mediante el uso del servicio Microsoft Update . Los clientes que ya habilitaron las actualizaciones automáticas y configuraron para buscar en línea las actualizaciones de Microsoft Update, normalmente no deben que realizar ninguna acción ya que esta actualización de seguridad se descargará e instalará automáticamente. Los clientes que no habilitaron las actualizaciones automáticas tienen que buscar las actualizaciones en Microsoft Update e instalar esta actualización manualmente.


Para los administradores e instalaciones en las empresas, o usuarios finales que deseen instalar esta actualización de seguridad de forma manual, Microsoft recomienda que apliquen la actualización a la primera oportunidad con el software administrativo para estas actualizaciones, o busquen las actualizaciones con el servicio Microsoft Update.


Fuente: http://www.microsoft.com

Related Posts Plugin for WordPress, Blogger...