En su ciclo habitual de actualizaciones los segundos martes de cada mes,
Microsoft ha anunciado que en esta ocasión se esperan “sólo” dos parches
de seguridad, uno destinado a su sistema operativo Windows y otro a su
suite ofimática Office.
Si en febrero fueron siete los boletines de seguridad, este mes se han
reducido a dos las actualizaciones que prevé publicar Microsoft el día
14 de marzo. Una ha sido calificada como de importante, y afecta a
Microsoft Windows. El otro parche está destinado a solventar una
vulnerabilidad crítica en Microsoft Office.
Es posible que el fallo que se corrige en el sistema operativo se
corresponda (por fin) con el que fue descubierto por eEye en octubre de
2005 y todavía no ha sido corregido por Microsoft. En la lista que
mantienen los prestigiosos investigadores, se muestran sin detalles
técnicos los agujeros de seguridad no solventados por los fabricantes,
aun habiéndoles sido notificados. En la lista, siempre según eEye,
encontramos una alerta de Microsoft, anunciada a la empresa, calificada
como de “severidad media” y no parcheada, con más de 150 días de
antigüedad.
No parece que los detalles de las vulnerabilidades para las que se
esperan los parches se hayan hecho públicos, pues los fallos no se están
aprovechando masivamente para infectar máquinas. Al menos, a gran escala
no parece estar ocurriendo. Esto no evita que la vulnerabilidad exista,
sea real y aprovechable aunque sea por un reducido número de personas
que han tenido acceso de cualquier forma a sus detalles técnicos. Jason
Miller en su artículo “The value of vulnerabilities” reflexiona sobre la
libre publicación de las vulnerabilidades y el valor que alcanzan cuando
todavía no son públicas. En este estado, para muchos, las
vulnerabilidades no existen, pues al no ser públicas parecen no suponer
una amenaza.
Muy al contrario, es en este momento cuando el valor potencial de una
vulnerabilidad se dispara, precisamente por mantenerse en secreto y no
existir solución ni conocimiento para, al menos, intentar evitarla.
Recordemos que por ejemplo, se rumorea que la infame vulnerabilidad WMF
fue descubierta mucho antes del día que se hizo pública. Se calcula que
llevaba semanas en manos de mafias que estaban especulando con ella, y
que el código que la explotaba fue vendido por 4.000 dólares.
Si el “full-disclosure” o revelación pública de toda la información
relativa a una vulnerabilidad puede beneficiar a la comunidad, la
ocultación y secretismo al respecto puede beneficiar (y de qué manera)
al descubridor que sabe ser discreto y negociar convenientemente con
la información que tiene entre manos.
ssantos@hispasec.com
Más información:
The value of vulnerabilities
http://www.securityfocus.com/columnists/391
Deja un comentario