Microsoft ha liberado hoy el parche para solucionar la vulnerabilidad que está afectando activamente a Internet Explorer en prácticamente todas sus versiones y sistemas. Sin embargo, la noticia lleva consigo otra de no poca importancia: Hay parche para Windows XP.
Hace casi un mes que la compañía que ahora preside Satya Nadella daba por finiquitada la era XP. Terminaba el soporte para el sistema más denostado, querido y longevo de la familia Windows, ya no iban a publicarse más parches. Era una decisión arriesgada, la cuota de mercado de XP es todavía significativa, pero a su vez, Microsoft necesitaba dar el empujón definitivo para que los usuarios se animarán a migrar a sus nuevos productos.
En la “Una al día” que anunciamos el final de XP, comentamos ese as en la manga que Microsoft se reservaba para amenazas significativas, de la altura de gusanos tan pertinaces como Conficker u otros. En principio dicho soporte iba a limitarse a las firmas de Microsoft Security Essentials, ahora sabemos que de momento no, ha sacado el as de la manga y lo ha puesto sobre el tapete.
Hace unos días, la propia Microsoft avisaba de la detección de un exploit para Internet Explorer que estaba siendo usado, un 0-day en toda regla. La vulnerabilidad aprovechaba una referencia a un puntero a un objeto previamente liberado de la librería VGX.dll. Curiosamente, para evadir las protecciones DEP y ASLR se valía de otra vulnerabilidad conocida en el reproductor Flash.
En el boletín de Microsoft se describía el problema, se detallaban las versiones afectadas del navegador y también se listaban los sistemas operativos correspondientes, entonces, ya se notaba la ausencia: no aparecía Windows XP. Era verdad, lo del fin de soporte no fue un sueño, no habría parche.
Durante una semana “se fue calentando la patata” que Microsoft tenía en las manos. Ni siquiera habían pasado 30 días y ya teníamos la primera amenaza seria. ¿Demasiado pronto? Quizás. Un mes es poco tiempo para que una tremenda masa de usuarios migren a otro sistema, una tarea que puede durar años hasta que el porcentaje se reduzca a lo simbólico.
¿Justifica la amenaza el parche fuera de soporte? Desde luego la amenaza es importante, pero no va a generar una pandemia, ya que entre otras cosas se necesita la intervención del usuario para visitar un sitio web que la explote. No se trata por tanto de un gusano con capacidad de explotación sin interacción de usuario. Además EMET es capaz, supuestamente, de detener el proceso en plena explotación. Luego tenemos a Security Essentials, las firmas actualizadas podrían reconocer la amenaza, pero siempre van a ir un paso (o dos) por detrás. El parche es definitivo, instalas y a otra cosa (con el permiso debido a la regresión).
Sea como sea, Microsoft ha considerado justificado la inclusión de Windows XP en el parche. Ahí podemos ver de nuevo su entrada en la tabla, en el boletín MS14-021, el boletín que será recordado por haber resucitado a Windows XP. Que aproveche.
Más información:
Microsoft Security Bulletin Summary for May 1, 2014
Una vulnerabilidad en Internet Explorer podría permitir la ejecución remota de código
una-al-dia (07/04/2014) eXPira el Windows más longevo de Microsoft
una-al-dia (27/04/2007) Ejecución de código a través de productos Zone Alarm
Vulnerability in Internet Explorer Could Allow Remote Code Execution
David García
Twitter: @dgn1729
Se agradecería más cuidado en cuanto a la ortografía… “Ahí” podemos ver de nuevo…
A Windows Server 2003 le queda aún un año más de soporte. Obviamente el código de IE entre W2003 y XP será prácticamente el mismo. Por eso mismo imagino que Microsoft seguirá sacando actualizaciones del IE para Windows XP siempre y cuando éstas sean importantes.
Como bien dice el título se trata de un parche para el navegador INTERNET EXPLORER, y no para el sistema operativo WINDOWS XP. Son cosas diferentes así que estáis mezclando churras con merinas…
¿Que ocurriría si mañana saltase la liebre con un error en el núcleo de Windows XP?