Después de anunciar ocho boletines de seguridad, el número real se ha
reducido a la mitad. Los parches de Microsoft de este mes han dejado sin
solución (entre otras) tres vulnerabilidades graves en Microsoft Word,
presumiblemente incluidos entre los ocho originales que se anunciaron
pero que no fueron publicados finalmente.
Los parches publicados el pasado martes solventan, como fue anunciado a
última hora, diez vulnerabilidades agrupadas en cuatro boletines. Los
que salen peor parados son los componentes de Office, Outlook y Excel,
con nueve vulnerabilidades, casi todas críticas. Ninguno de los fallos
corregidos se conocía de forma pública antes de la aparición de estos
boletines (aunque algunos sí que estaban siendo aprovechados).
Sin embargo, tres vulnerabilidades en Word para las que existe exploit
público que permite ejecución de código (y está siendo aprovechado),
no han sido contempladas en esta ocasión. Tampoco dos problemas en el
servicio CSRSS (Client Server Runtime SubSystem) que permiten elevar
privilegios en local o revelar información sensible han encontrado
solución. Todas se han dado a conocer durante el mes de diciembre.
Existen otras vulnerabilidades «pendientes» que permiten provocar
denegaciones de servicio (que la aplicación deje de responder)
igualmente en espera.
No existe aclaración oficial sobre la causa de este lote de
actualizaciones mensual descafeinado, donde se han echado en falta
soluciones a problemas acuciantes en la suite ofimática de Microsoft
o su sistema operativo. Se puede presuponer que los parches estaban
prácticamente listos en un primer momento, hasta el punto de ser
anunciados, pero a última hora no los consideraron suficientemente
maduros. Es más que probable que desde Microsoft se haya decidido
comprobar una vez más la calidad de esos parches anunciados en primera
instancia para ahorrarse disgustos y no comprometer la estabilidad de
sus clientes.
Es comprensible esta actitud reservada y conservadora a la hora de
publicar parches. Situaciones como la vivida en agosto de 2006 con el
boletín MS06-042 hacen necesario una reflexión sobre la liberación de
parches. En él se recomendaba la aplicación de un parche acumulativo
para Internet Explorer que solucionaba ocho problemas de seguridad.
Dos semanas después se hizo público que, inadvertidamente, este parche
había introducido una nueva vulnerabilidad crítica.
Si se cumple el ciclo (muy probablemente) y no se publican nuevos
parches extraordinarios hasta febrero, dejarían sin solucionar varios
problemas graves durante más de dos meses. Aunque una política de
comprobación de calidad y análisis de impacto es tan importante como
cualquier otro proceso de la administración de actualizaciones, los
retrasos pueden resultar tan peligrosos (para sus clientes y para su
imagen) como arriesgarse a publicar un parche que cause algún
estropicio. Es un equilibrio que no debe romperse.
En cualquier caso, es decisión de los usuarios utilizar alternativas
cuando sea posible (como OpenOffice.org) o aplicar las contramedidas
que recomendadas en los correspondientes boletines y ayudan a mitigar
los efectos de un posible ataque.
ssantos@hispasec.com
Más información:
(23/08/2006) El último parche acumulativo para Internet Explorer
introduce una nueva vulnerabilidad
http://www.hispasec.com/unaaldia/2860
(08/01/2007) Microsoft publicará mañana cuatro parches de seguridad
http://www.hispasec.com/unaaldia/2998
Deja una respuesta