En su ciclo habitual de actualizaciones los segundos martes de cada mes, Microsoft ha anunciado que en esta ocasión no se esperan boletines de seguridad, circunstancia que no se daba desde septiembre de 2005. Sí que se publicarán otras actualizaciones de alta prioridad no relacionadas con la seguridad.
Si en febrero fueron doce los boletines de seguridad, este mes Microsoft no prevé publicar actualizaciones el día 13 de marzo. Si bien esto no significa que no existan problemas de seguridad todavía sin solucionar o que no se hayan descubierto nuevos errores en este periodo de tiempo.
De hecho, existen varios problemas en Visual Studio y Microsoft Help Workshop conocidos desde finales de enero que no han sido solucionados. Hace poco se ha dado a conocer un nuevo error en Ole32.dll que quizás permita la ejecución de código disparada a través de un fichero Word. El día 15 de febrero, se hizo pública la existencia de un error crítico en Word que permitía la ejecución de código y que estaba siendo aprovechado de forma activa. También hay constancia de un fallo en Publisher por corregir. Existen además otros problemas de elevación de privilegios locales y revelación de información sensible sin solución.
Por tanto, no hay razón aparente para dejar pasar este mes sin actualizaciones, excepto la teoría lanzada desde algunas páginas especializadas. El congreso de Estados Unidos decidió en 2005 que el periodo de ahorro de luz del día se prolongase cuatro semanas a partir de 2007. Por primera vez en 20 años, el famoso cambio horario que se realiza dos veces al año, se adelantaría al segundo domingo de marzo (en vez del primer domingo de abril). Igualmente se retrasaría a noviembre el cambio otoñal. Con esto, Estados Unidos (no todos sus estados) y Canadá (en Europa no se adoptará esta medida) pretenden ahorrar energía prolongando las horas de luz.
Este cambio, implantado en todos los sistemas que modifican su horario de forma automática (desde routers hasta teléfonos móviles) ha provocado un efecto parecido al vivido en el año 2000. Todo el software ha debido ser actualizado y millones de administradores y usuarios han tenido que aplicar los parches correspondientes. Desde el domingo 11 de marzo, a las dos de la mañana, tendrán que comprobar si las actualizaciones han funcionado correctamente. Microsoft, quizás, no ha querido cargar además a los administradores con la responsabilidad (y la dura tarea) de parchear la seguridad de servidores críticos si además deben controlar que la aplicación del parche horario ha funcionado adecuadamente. Ante cualquier eventualidad por lo «traumático» del cambio (ya tuvieron problemas los australianos en 2006 con un cambio parecido), probablemente hayan decidido curarse en salud y facilitar a los administradores el trabajar por partes.
En cualquier caso, si gracias a la decisión de Microsoft el martes no habrá trabajo extra de seguridad para muchos administradores, sí que de todas formas, desde este domingo deben comprobar exhaustivamente que todo ha ido bien y que el cambio horario ha tenido lugar sin mayores contratiempos en todos sus sistemas (con especial atención a las alertas programadas y al trabajo con diferentes husos horarios, por ejemplo).
Se espera además, en consecuencia, un segundo martes de abril bien cargado de boletines de seguridad de Microsoft.
ssantos@hispasec.com
Más información:
Microsoft Security Bulletin Advance Notification
http://www.microsoft.com/technet/security/bulletin/advance.mspx
Patch Reprieve for March’s Black Tuesday
http://blog.washingtonpost.com/securityfix/2007/03/patch_reprieve_for_marchs_blac.html
Deja una respuesta