lunes, 31 de diciembre de 2012

Resumen de seguridad de 2012 (y IV)


Termina el año y desde Hispasec un año más echamos la vista atrás para recordar y analizar con perspectiva (al más puro estilo periodístico) lo que ha sido 2012 en cuestión de seguridad informática. En cuatro entregas (tres meses por entrega) destacaremos muy brevemente lo que hemos considerado las noticias más importantes de cada mes publicadas en nuestro boletín diario.

Octubre 2012:



Noviembre 2012:



Diciembre 2012:



Más información:

una-al-dia (30/09/2012) ¿Qué ha pasado con el certificado de Adobe?

una-al-dia (09/10/2012) Boletines de seguridad de Microsoft en octubre

una-al-dia (08/10/2012) Corregidos múltiples errores en el reproductor Adobe Flash

una-al-dia (16/10/2012) Boletines de seguridad de Oracle y Java en octubre (139 vulnerabilidades)

una-al-dia (17/10/2012) WinLockLess añade protección "antipharming" en su versión 0.3

una-al-dia (13/11/2012) Microsoft corrige 19 vulnerabilidades en 6 boletines de seguridad

una-al-dia (29/11/2012) Descubierta puerta trasera en impresoras Samsung y DELL

una-al-dia (05/11/2012) La caza de bugs en Paypal acaba con la publicación de un grave agujero de seguridad

una-al-dia (06/11/2012) Nueva actualización para Adobe Flash Player

una-al-dia (09/12/2012) RegistryDate: cómo conocer la fecha de modificación del registro

una-al-dia (16/12/2012) Java (por fin) permite mejorar la configuración de seguridad

una-al-dia (28/12/2012) Ejecución de código arbitrario en Microsoft Internet Explorer 6, 7 y 8


Antonio Ropero
Twitter: @aropero

domingo, 30 de diciembre de 2012

Resumen de seguridad de 2012 (III)


Termina el año y desde Hispasec un año más echamos la vista atrás para recordar y analizar con perspectiva (al más puro estilo periodístico) lo que ha sido 2012 en cuestión de seguridad informática. En cuatro entregas (tres meses por entrega) destacaremos muy brevemente lo que hemos considerado las noticias más importantes de cada mes publicadas en nuestro boletín diario.

Julio 2012:



Agosto 2012:



Septiembre 2012:



Más información:

una-al-dia (11/07/2012) Grave vulnerabilidad en Plesk están siendo aprovechada por atacantes

una-al-dia (13/07/2012) Microsoft curándose en salud: Fin de los Gadgets y revocación de certificados

una-al-dia (15/07/2012) Microsoft curándose en salud (II): bloqueará los certificados de menos de 1024 bits

una-al-dia (17/07/2012) Hispasec presenta Office Signature Checker

una-al-dia (12/07/2012) Boletines de seguridad de Microsoft en julio

una-al-dia (18/07/2012) Actualización de seguridad de julio para productos Oracle

una-al-dia (25/07/2012) Apple corrige más de 120 vulnerabilidades en Safari 6

una-al-dia (06/08/2012) Si no actualizas Java, estás infectado

una-al-dia (14/08/2012) Boletines de seguridad de Microsoft en agosto

una-al-dia (15/08/2012) Boletines de seguridad de Adobe en agosto

una-al-dia (16/08/2012) El último boletín de Acrobat y Reader deja al menos 16 problemas de seguridad conocidos sin resolver

una-al-dia (22/08/2012) Nueva actualización fuera de ciclo para Adobe Flash Player

una-al-dia (27/08/2012) Grave vulnerabilidad sin parche en Java está siendo aprovechada por atacantes

una-al-dia (01/09/2012) El malware ya se aprovecha del HTML5

una-al-dia (02/09/2012) Rematando MS-CHAP v2: Microsoft aconseja dejar de usarlo sin encapsular (I, II y III)

una-al-dia (07/09/2012) "Mi última una-al-día: gracias y hasta otra"

una-al-dia (16/09/2012) Grave vulnerabilidad sin parche en Internet Explorer está siendo aprovechada por atacantes

una-al-dia (21/09/2012) Microsoft publica actualización fuera de ciclo para la vulnerabilidad de Internet Explorer


Antonio Ropero
Twitter: @aropero

sábado, 29 de diciembre de 2012

Vulnerabilidad en el servicio Nvidia Display Driver para Windows


El investigador Peter Winter-Smith ha publicado recientemente un exploit para el servicio Nvidia Display Driver en máquinas Windows. El servicio es vulnerable a un desbordamiento de memoria que elude los mecanismos DEP (Data Execution Prevention) y ASLR (Address Space Layout Randomization) para obtener privilegios de administrador. Dicho desbordamiento es causado a raíz de una operación "memmove" realizada incorrectamente.

Las operaciones "memmove" copian datos desde un origen a un destino en memoria. La vulnerabilidad del servicio de Nvidia reside en que no se comprueban correctamente los datos a copiar. De forma que se permite copiar datos críticos y eludir las protecciones de Windows.

También comenta Winter-Smith que la vulnerabilidad es difícil de explotar de forma remota ya que afecta principalmente a máquinas controladoras de dominio con relajadas reglas de cortafuegos y la compartición de archivos activada. Por contrario, sí que es fácilmente explotable para un usuario local.

Más información:

Nvidia Display Driver Service Attack Escalates Privileges on Windows Machines




Fernando Castillo

viernes, 28 de diciembre de 2012

Ejecución de código arbitrario en Microsoft Internet Explorer 6, 7 y 8


Microsoft ha confirmado una vulnerabilidad 0day que afecta al navegador Internet Explorer 6, 7 y 8 (las versiones 9 y 10 no se ven afectadas).

El problema, al que se la que se le ha asignado el CVE-2012-4792, reside en uso de un puntero después de liberar que permite la ejecución de código arbitrario con los privilegios que se encuentre el usuario. Esta vulnerabilidad puede permitir la elevación de privilegios y el compromiso de la totalidad del sistema.

Se han detectado ataques que explotan esta vulnerabilidad, como es el caso de la web http://www.cfr.org/ comprometida esta semana , también se ha publicado un exploit en el framework Metasploit.

Hasta el momento, Microsoft no aporta solución aunque sí que es posible que lo haga en el próximo boletín, según el propio aviso:
"On completion of this investigation, Microsoft will take the appropriate action to protect our customers, which may include providing a solution through our monthly security update release process, or an out-of-cycle security update, depending on customer needs."

Más información:

Microsoft Security Advisory (2794220)

CFR Watering Hole Attack Details



Fernando Castillo

jueves, 27 de diciembre de 2012

Resumen de seguridad de 2012 (II)


Termina el año y desde Hispasec un año más echamos la vista atrás para recordar y analizar con perspectiva (al más puro estilo periodístico) lo que ha sido 2012 en cuestión de seguridad informática. En cuatro entregas (tres meses por entrega) destacaremos muy brevemente lo que hemos considerado las noticias más importantes de cada mes publicadas en nuestro boletín diario.

Abril 2012:



Mayo 2012:



Junio 2012:



Más información:

una-al-dia (10/04/2012) Boletines de seguridad de Microsoft en abril

una-al-dia (11/04/2012) Hispasec presenta WinLockLess: Herramienta para prevenir el arranque de programas en el inicio de Windows (y su potencial bloqueo)

una-al-dia (20/04/2012) Grupo de parches de abril para múltiples productos Oracle

una-al-dia (15/04/2012) Hispasec participa en el Security Blogger Summit 2012

una-al-dia (27/04/2012) Grave fallo de seguridad en Hotmail permitía el robo de cuentas

una-al-dia (30/04/2012) Oracle TNS Poison: solucionada (4 años después) grave vulnerabilidad remota en Oracle DB

una-al-dia (08/05/2012) Boletines de seguridad de Microsoft en mayo

una-al-dia (09/05/2012) Boletines de seguridad de Adobe

una-al-dia (22/05/2012) Nuevas versiones de SpyEye graban imágenes de sus víctimas

una-al-dia (29/05/2012) TheFlame: reflexiones sobre otra "ciberarma" descubierta demasiado tarde

una-al-dia (04/06/2012) Hispasec presenta FWRulez: Herramienta que facilita la administración de Windows Advanced Firewall

una-al-dia (07/06/2012) Apple explica la seguridad de iOS

una-al-dia (05/06/2012) TheFlame, el sueño de todo creador de malware

una-al-dia (14/06/2012) Apple "deja de ser mejor" que Microsoft (la próstata de Apple II)

una-al-dia (21/06/2012) Dos vulnerabilidades en Internet Explorer están siendo explotadas activamente


Antonio Ropero
Twitter: @aropero

miércoles, 26 de diciembre de 2012

Resumen de seguridad de 2012 (I)


Termina el año y desde Hispasec un año más echamos la vista atrás para recordar y analizar con perspectiva (al más puro estilo periodístico) lo que ha sido 2012 en cuestión de seguridad informática. En cuatro entregas (tres meses por entrega) destacaremos muy brevemente lo que hemos considerado las noticias más importantes de cada mes publicadas en nuestro boletín diario.

Enero 2012:



Febrero 2012:



Marzo 2012:



Más información:

una-al-dia (19/01/2012) Diez años de Trustworthy Computing en Microsoft. ¿Éxito o fracaso? (I y II)

una-al-dia (10/01/2012) Boletines de seguridad de Microsoft en enero

una-al-dia (14/01/2012) Actualizaciones de seguridad para Adobe Reader y Acrobat

una-al-dia (20/01/2012) Oracle corrige 78 vulnerabilidades para su boletín de enero 2012

una-al-dia (27/01/2012) Microsoft, ¿No quedamos en dejar de utilizar MD5? (I)

una-al-dia (14/02/2012) Boletines de seguridad de Microsoft en febrero

una-al-dia (01/02/2012) La fundación Mozilla publica 9 boletines de seguridad para sus productos

una-al-dia (13/02/2012) Nueva versión de "emergencia" para productos Mozilla

una-al-dia (19/02/2012) Otra actualización urgente (tercera en dos semanas) para productos Mozilla

una-al-dia (15/02/2012) Nuevas y curiosas técnicas del malware contra entidades latinoamericanas

una-al-dia (24/02/2012) DNSChanger, una moda... ¿de 2008?

una-al-dia (02/03/2012) El virus de la policía "evoluciona" e impide el acceso en modo seguro

una-al-dia (09/03/2012) El malware de la policía aprovecha un exploit de Java "in-the-wild" y el secreto su "éxito"

una-al-dia (12/03/2012) Corregidos 81 fallos de seguridad in iOS 5

una-al-dia (18/03/2012) WhitePaper: Estudio técnico del troyano de la policía

una-al-dia (22/03/2012) Zeus mejora su ingeniería social: la transferencia "ficticia"



Antonio Ropero
Twitter: @aropero

martes, 25 de diciembre de 2012

Múltiples vulnerabilidades en productos Hitachi

Hitachi ha publicado varios boletines de seguridad que afectan a diferentes productos, y que pueden permitir a un atacante revelar información sensible y causar denegación de servicio. Varios fallos son heredados de Apache, integrado en algunos de sus productos, y los restantes son ataques cross-site scripting.

Los fallos heredados de Apache son y afectan a los siguientes productos:

  • Denegación de servicio a través de la función 'apr_brigade_split_line' con CVE-2010-1623, que afecta a los productos Cosminexus HTTP Server (v7,v8,v9), Hitachi Web Server (v3,v4).
        
  • Revelación de información sensible al no restringir la información de la cabecera HTTP en errores 400 con CVE-2012-0053, que afecta a los productos Cosminexus HTTP Server (v5,v6,v7,v8,v9), Hitachi Web Server (v1,v2,v3,v4), Hitachi Web Server - Security Enhancement (v2).
       
  • Denegación de servicio a través de la función 'ap_cleanup_scoreboard' con CVE-2012-0031, que afecta a los productos Cosminexus HTTP Server (v7,v8,v9), Hitachi Web Server(v3,v4).


Por otra parte, los productos Groupmax Collaboration Portal v7, uCosminexus Collaboration Portal v6, Groupmax Collaboration Web Client - Forum/File Sharing v7, uCosminexus Collaboration Portal - Forum/File Sharing v6 y Groupmax Collaboration Web Client – Mail/Schedule v7 son susceptibles a ataques XSS (cross-site scripting).

Más información:

Hitachi (HS12-029):

Hitachi (HS12-031):

Hitachi (HS12-032):

Hitachi (HS12-033):


Fernando Castillo

lunes, 24 de diciembre de 2012

Múltiples vulnerabilidades en pfSense


Acaba de anunciarse la versión 2.0.2 de pfSense, destinada a solucionar numerosos fallos y varias vulnerabilidades.

pfSense es una distribución de código libre personalizada de FreeBSD adaptada para su uso como Firewall y Router.

Las primeras vulnerabilidades vienen a través de openssl, causando denegación de servicio (CVE-2011-4619, CVE-2011-4109 y CVE-2012-2110) y revelación de información sensible (CVE-2011-4576 y CVE-2012-0884).

La siguiente vulnerabilidad viene dada en CPUs de 64bit donde se logra elevación de privilegios (CVE-2012-0217) y por último, denegación de servicio a través del demonio hostapd (CVE-2012-4445).

Todas las distribuciones cuya versión sea inferior a la 2.0.2 son potencialmente vulnerables, por lo que se recomienda su actualización a la última disponible desde el enlace de descarga que se facilita desde la web oficial.

Más información:

2.0.2 Release Now Available!

Fernando Castillo

domingo, 23 de diciembre de 2012

Vulnerabilidades en Novell eDirectory


Se han anunciado diversas vulnerabilidades en Novell eDirectory (versiones anteriores a 8.8.7.2 y 8.8.6.7), que podrían permitir a un atacante remoto provocar condiciones de denegación de servicio, construir ataques de cross-site scripting y llegar a comprometer los sistemas afectados.


El primero de los problemas solo afecta a plataformas Windows, reside en el servicio dhost al tratar determinados caracteres manipulados. Un atacante puede emplear esta vulnerabilidad para provocar la caída del servicio a través de una petición HTTP específicamente creada.

Una segunda vulnerabilidad se produce porque no se limpian adecuadamente determinadas entradas antes de ser devueltas al usuario. Esto puede permitir la realización de ataques de cross-site scripting y la ejecución de código script arbitrario.

Por ultimo, un desbordamiento de búfer (basado en pila) debido a un error en la implementación NCP. Este problema podría permitir a un atacante lograr la ejecución de código arbitrario.

Se recomienda actualizar a las versiones 8.8.7.2 o 8.8.6.7.

Más información:

History of Issues Resolved in eDirectory 8.8.x

Security Vulnerability: eDirectory DoS dhost request with certain characters

Security Vulnerability: eDirectory Authorization Mechanism Bypass

Security Vulnerability: eDirectory Cross Site Scripting exploit



Antonio Ropero
Twitter: @aropero

sábado, 22 de diciembre de 2012

Dos vulnerabilidades en IBM Tivoli Storage Manager for Space Management


IBM ha confirmado la existencia de dos vulnerabilidades en IBM Tivoli Storage Manager for Space Management (versiones 5.4, 5.5, 6.1, 6.2 y 6.3). 

Tivoli Storage Manager, es un producto de IBM para la gestión de almacenamiento que automatiza las funciones de restauración y copia de seguridad, y permite centralizar las operaciones de gestión de backups.

El primero de los problemas (con CVE-2012-4859) podría permitir a un usuario local no autorizado elevar sus privilegios en el sistema. Una segunda vulnerabilidad (con CVE-2012-5954) podría permitir a atacantes remotos acceder y manipular cualquier archivo administrado por Tivoli.

IBM ha publicado actualizaciones para las diferentes versions afectadas:

Más información:

Security Bulletin: Two unauthorized access vulnerabilities in IBM TSM for Space Management (CVE-2012-4859 and CVE-2012-5954).





Antonio Ropero
Twitter: @aropero

viernes, 21 de diciembre de 2012

Ejecución remota de código en RealPlayer


Se han anunciado dos vulnerabilidades en RealPlayer que podrían permitir a un atacante remoto comprometer los sistemas afectados.


El primero de los problemas (con CVE-2012-5690) reside en un puntero no válido al tratar archivos RealAudio específicamente creados. Por otra parte también existe un desbordamiento de búfer (con CVE-2012-5691) en el tratamiento de archivos RealMedia manipulados. Ambos problemas podrían permitir la ejecución remota de código arbitrario.

Se ven afectadas las versiones RealPlayer 11.0 a 11.1, RealPlayer SP 1.0 a 1.1.5 y RealPlayer 14.0.0 a 15.0.6.14. Se ha publicado la versión 16.0.0.282 que soluciona ambos problemas.

Más información:

RealNetworks, Inc. lanza una actualización de seguridad para resolver puntos vulnerables


Antonio Ropero
Twitter: @aropero

jueves, 20 de diciembre de 2012

El malware como arma (arrojadiza) publicitaria

Muchos recordarán el anuncio de televisión en el que se representaba al PC como un hombre desfasado, con traje, corbata y con el "virus" del resfriado (no paraba de estornudar). El Mac, se mostraba como un joven dinámico, sano y moderno. La presencia o ausencia de malware en los sistemas operativos siempre se ha usado como arma arrojadiza y argumento comercial. Y la ha usado hasta Windows.


El malware era una molestia hace años. Podía ralentizar el ordenador, destruir información... Ahora es una verdadera amenaza que afecta a la economía de las personas con estafas, secuestros y robos de capital de por medio. Por tanto, su mayor o menor presencia en diferentes plataformas o sistemas operativos puede suponer un argumento de peso en contra o a favor para decantarse por su uso (y compra). Así que acaba siendo parte de una estrategia comercial como cualquier otra. El problema es cómo se utilice.

Las contiendas dialécticas sobre malware entre Windows y Linux se han desarrollado principalmente en foros, sin la intervención quizás de agresivas campañas publicitarias. Los usuarios de entornos *NIX alegan que Windows es un desastre en cuestión de malware, y usar Linux supone librarse de esa molestia.

Apple es la compañía que más ha usado "profesionalmente" este argumento, hasta que el año pasado modificó su estrategia. Si antes se podía leer en su página despropósitos como "Inmune a los virus del PC", o anuncios como el mencionado más arriba, ahora es mucho más comedida en su comparación. Se hace valer de sus propios argumentos, evitando la comparación y la mención del malware, para mostrar sus cualidades.

El caso es que esta machacona publicidad, acertada o no, promovida o voluntaria, ha conseguido su objetivo: en el imaginario colectivo, el sistema que se infecta es Windows, mientras el resto permanece inmune. Curiosamente en Microsoft, el sistema más atacado por el malware más avanzado, han usado esta estrategia comparativa en cuanto ha tenido la menor ocasión.


En la imagen de hace unos días, el comunity manager de turno de la cuenta de Twitter de Windows Phone utiliza un reporte de Sophos en el que se afirma (con razón) que el malware de Android sigue un imparable crecimiento. Con cierta ironía, recomienda tres pasos para librarse del malware: Esperar a que tu Android se infecte, a sufrir una factura enorme por estafa en envío de SMS, y entonces comprar un Windows Phone y conectarse de forma segura con la gente que te importa.

Una estrategia legítima, pero desafortunada, venga de quien venga

Una propuesta publicitaria más honesta, describiría las características técnicas del dispositivo de turno para luchar contra su propio malware, sin comparar con otras plataformas, puesto que todos esos aspectos son circunstanciales: Apple nunca pensó que sufriría la cantidad de malware que infectó sus sistemas el año pasado (y lo que probablemente le obligó a replantearse su estrategia). Probablemente los usuarios de un sistema basado en *NIX como Android, nunca llegaron a pensar que encabezarían las listas de infección y producción en teléfonos móviles. Quizás Microsoft no esperaba que su teléfono móvil estuviera fuera del circuito del malware (al menos por ahora).

No olvidemos que el malware, técnicamente hablando, es un programa como otro cualquiera y sólo la voluntad de programarlo es lo que le separa de que se haga realidad para una plataforma concreta. Lo único que diferencia al malware de cualquier otro software es que intenta instalarse silenciosamente en el equipo (bien a través de la ingeniería social o de vulnerabilidades) y qué recursos toma del sistema una vez se ejecuta en él. Puede ser más o menos compleja una infección, necesitar más o menos la colaboración del usuario, o permitir más o menos acceso a los recursos importantes del sistema una vez infectado... pero ningún sistema operativo es inmune y el malware acudirá allí donde encuentre mayor beneficio, sin importar las campañas publicitarias al respecto.

Más información.

Mac vs PC Commercial (UK) - Virus

una-al-dia (28/05/2011) Malware para Mac. Vamos a contar mentiras (I)

una-al-dia (29/05/2011) Malware para Mac. Vamos a contar mentiras (II)




Sergio de los Santos
Twitter: @ssantosv

miércoles, 19 de diciembre de 2012

Desbordamiento de búfer en Nagios

Se ha anunciado una vulnerabilidad en Nagios 3.4.3, que podría permitir a un atacante remoto comprometer los sistemas afectados.

Nagios es un sistema de monitorización redes, que mantiene una vigilancia tanto del hardware de los equipos como del software instalado en ellos, avisando ante cualquier cambio, intrusión, escasez de recursos, etc. a través de diferentes medios como pueden ser el email y los SMS.

El problema reside en un desbordamiento de búfer (basado en pila) en "history.cgi" por el uso de sprintf con datos suministrados por el usuario sin haberlos restringido previamente en su tamaño. Concretamente se ve afectado el parámetro "host" y podría llegar a explotarse de forma remota a través de una simple URL y permitiría la ejecución de código arbitrario.

Hasta el momento no se ha publicado ninguna actualización oficial.

Más información:

[Full-disclosure] Nagios Core 3.4.3: Stack based buffer overflow in web interface
  

Antonio Ropero
Twitter: @aropero 

martes, 18 de diciembre de 2012

Graves vulnerabilidades en Adobe Shockwave, necesitarán dos años para solucionarse

El US-CERT ha alertado sobre tres graves vulnerabilidades en Adobe Shockwave que permiten la ejecución de código en el sistema con solo visitar una página web. Según el aviso, Adobe fue alertado sobre el problema en octubre de 2010, pero no solucionará los problemas hasta febrero de 2013.

Shockwave es un plugin para navegadores que, aunque también de Adobe, no debe confundirse con Flash. En cierta manera, es menos popular pero más potente a la hora de desarrollar gráficos y juegos. Como ocurre con Java, muchos usuarios puede que lo tengan instalado en sus navegadores pero realmente no lleguen a usarlo a menudo si no visitan habitualmente páginas que lo requieran.

El US-CERT ha publicado tres graves vulnerabilidades que permiten la ejecución de código: CVE-2012-6271, CVE-2012-6270 y otra con CVE por determinar. Eludiendo los detalles técnicos, básicamente las tres vulnerabilidades permiten la ejecución de código arbitrario con solo visitar una web que aloje un archivo Shockwave especialmente manipulado, por supuesto de forma transparente para el usuario (si no ha configurado su navegador para evitar este tipo de plugins).

Esto no sería noticia si no fuese porque el US-CERT alertó a Adobe del problema en octubre de 2010. Ambos han mantenido silencio hasta ahora. Brian Krebs escribió a Adobe y le indicaron que la compañía solucionará el problema en la próxima versión de Shockwave que se lance, lo que ocurrirá en febrero de 2013. ¿La razón? Simplemente, no se apresuran a corregir el error mientras no se conozca que el fallo está siendo aprovechado por atacantes. Y por ahora parece que no es así.

Ojos que no ven...

El comportamiento de Adobe no es nada nuevo en la industria (y mucho menos en su empresa, donde la seguridad no parece ser prioritaria). Los fabricantes de software tienden a priorizar los problemas de seguridad más acuciantes, pero parecen relegar indefinidamente el resto. Parecen barrer debajo de la alfombra todo lo que no suponga una amenaza confirmada. Es habitual observar como las empresas posponen indefinidamente la solución a vulnerabilidades de las que son conscientes hasta que salen a la luz o, lo que es peor, se conoce que están siendo aprovechadas por atacantes. En ese momento, priorizan el problema hasta solucionarlo cuanto antes. De hecho, no es de extrañar que tras el reconocimiento de estas vulnerabilidades y los pocos detalles que se ofrecen, ya se estén analizando concienzudamente para encontrar los detalles técnicos y aprovechar la ventana de tiempo existente hasta la supuesta solución. En ese caso (y solo en ese) quizá sacarían un parche antes de la fecha prevista.

En un estudio que realizamos hace un tiempo, concluíamos que, mientras la vulnerabilidad permaneciese en secreto, los grandes fabricantes podían pasar hasta seis meses de media sin arreglarla. Sin embargo, en cuanto salen a la luz, es cuestión de pocas semanas o días que aparezca un parche oficial.

 
No es extraño que con este comportamiento, el propio ecosistema se haya adaptado sus reglas para "acelerar el proceso". Zero Day Initiative tuvo que imponer un límite de 180 a los fabricantes para solucionar sus fallos, o de lo contrario los haría públicos. Los investigadores independientes, por su parte, encuentran en la publicación de los detalles una manera de presionar a los responsables cuando según su criterio han esperado demasiado tiempo una solución.

Es cierto que arreglar vulnerabilidades en software medianamente complejo y tan popular, no es tan sencillo como parece. De hecho, queremos entender que el retraso en la publicación de parches no se debe a la desidia, sino a la priorización de beneficios y manejo de recursos. ¿Qué es más conveniente para la empresa?: ¿Invertir en el desarrollo y mejora del producto o en la seguridad? ¿Reinventar el producto y mejorar su protección o seguir hacia delante con paños calientes y parches? ¿Es mejor asegurarse de que un parche no "rompe" nada, y para ello tomarse el tiempo necesario en pruebas, o lanzarlo cuanto antes aun a riesgo de fallar de alguna forma y empeorar la imagen de la empresa? Las compañías disponen de recursos finitos para el estudio y reparación de vulnerabilidades, y reparten los existentes entre los diferentes fallos de forma que se solucionan antes las que más riesgo conllevan y se relegan las menos prioritarias. El problema es que cuando se trata de software tan popular, la responsabilidad del fabricante es muy alta, siendo finalmente el usuario el que sale perdiendo.

Más información:

Shocking Delay in Fixing Adobe Shockwave Bug

¿Cuánto tardan los grandes fabricantes de software en arreglar una vulnerabilidad?

Shocking Delay in Fixing Adobe Shockwave Bug

Adobe Shockwave player installs Xtras without prompting

Adobe Shockwave player provides vulnerable Flash runtime

Adobe Shockwave player vulnerable to downgrading




Sergio de los Santos
Twitter: @ssantosv