Microsoft ha publicado un parche de emergencia para sus navegadores web solucionando la vulnerabilidad utilizada en los ataques de al menos 33 grandes compañías en China, incluyendo a Google. Vulnerabilidad conocida desde finales de agosto y cuyo parche estaba previsto publicarse en el boletín de seguridad de febrero.
Los ataques en China aprovechando la vulnerabilidad de Internet Explorer continúan en el centro de la polémica. Como ya informamos, Microsoft lo reconoce como fallo crítico y confirma su extensión tanto a la versión 6, como a la 7 y la 8. La acualización está disponible automáticamente a través de Windows Update y también como descarga.
Un fallo de seguridad denominado “Aurora” que se ha convertido en un auténtico escándalo, que ha llevado a Google a plantearse su salida de China y que ha tenido (y tendrá) sus consecuencias para Microsoft, con distintos países como Alemania, Francia o Australia, recomendado dejar de utilizar Internet Explorer, algo que nunca se había producido.
¿Podría haber evitado Microsoft los ataques? se preguntan en Ars Technica. Pues parece que sí, ya que el fallo fue reportado a finales de agosto y estaba previsto publicarlo en el próximo boletín de seguridad, aunque Microsoft dicen hizo lo de siempre: “trabajar en una solución privadamente a veces sin advertir al público hasta que no fuera absolutamente necesario y luego publicarla tan pronto como sea posible”. En este caso las consecuencias han sido de gravedad y está por ver donde se extienden las connotaciones del caso.
Ciertamente los navegadores de Microsoft son los más extendidos y los más atacados y ninguno de sus rivales se libra de vulnerabilidades, pero no está Microsoft tan sobrado en cuota de mercado de navegadores web para que tarden seis meses en parchear una vulnerabilidad conocida y crítica.
“Aurora” no es un fallo de seguridad. Aurora es el nombre rebuscado que una compañía de seguridad le dió al ataque sofisticado contra diferentes empresas, basado en la falla seguridad mencionada, junto con la otra falla de la que pocos hablan: la vulnerabilidad en los productos de Adobe.
¿Podría haber evitado el redactor de la nota escribir una noticia imprecisa?
Aurora es un ataque phising basado en correo, vulnerabilidad en adobe PDF, vulnerabilidad en ActiveX o Adobe plugin…
Mucho tietular sensacionalista, pero Firefox 3.5 tambien es vulnerable al ataque si abres un PDF malicioso en la ventana del navegador descargandolo desde un webmail.
No nos quedemos en la anécdota ni intentemos defender lo indefendible. Microsoft ha tardado seis meses en parchear una vulnerabilidad conocida y crítica.
Por eso la mayoría de usuarios informados utilizamos Opera, Firefox u Chrome: Muchísimo más rápidos, más compatible con estándares y en general mejores.
Tienen vulnerabilidades como todos pero ni se ocultan ni se tardan seis meses en parchear.
Esto la verdad hace bastante grave todo el asunto, y más increíble las explicaciones desde Redmond en todo este lío, es para reír por no ponerse a llorar.
No decirte que tienes un bug, o una vulnerabilidad te da una falsa sensación de seguridad, y claro después la gente, se sorprende cuando pasa lo de Aurora. Que muchas veces no se arreglan en tres días vale, pero advierte en este caso por ejemplo que cuidado con el javascript, que hay vulnerabilidad critica. Y este lío de Aurora ni habría pasado.
Comprendo que los de Redmond estén preocupados en que si publicitan sus vulnerabilidades haciendole el seguimiento de las mismas, la gente diga vaya cagada de programa que tiene no se cuantos bugs, etc.., pero si lo ocultas a la mayoría, siempre hay un listo de la clase que se aprovecha y fijate a las pruebas me remito. Ahora que valoren secretismo o transparencia.
MS tardo 6 meses, pero Mozilla ha tenido que lanzar la 3.6 para no quedarse tambien con el cul0 al aire. Cuando MS publico la informacion sobre la vulnerabilidad de marras acompañando el anuncio de lanzamiento del parche se descubrió que Mozilla sufria exactamente el mismo agujero con su Plug-In Adobe Acrobat permitiendole hacer exactamente los mismos destrozos.
Y lo mas etico cuando se descubre una vulnerabilidad es ocultarla hasta que se sepa como protegerse de ella para evitar que gente con malas intenciones descubra en la kb la vulnerabilidad y en lugar de ayudar a parchearla se aproveche de ella.
MS y Adobe sabia del agujero cruzado y ninguno publico la forma de explotarlo hasta que supieron como proteger.
Pues mira ejemplo del secretismo como puedes ver hay sosprechas que esta vulnerabilidad haya sido usada estos últimos 4 años. Luego en Septiembre del año se le dice a Redmond, estos en secreto planeaban el parche para febrero, y se lio grande y lo adelantaron.
Me estas diciendo que si hubieran advertido en septiembre sobre estos problemas de seguridad, y que por ejemplo la gente anduviera con cuidado (muchos lo hacemos de serie, pero hay otros que no, aunque trabajen en zonas sensibles) el ataque hubiera sido de la dimensión que fue. Yo creo que no, una vez que se conoce debe tratar de involucrar la mayor cantidad de gente para solucionarlo con la mayor brevedad. Pero son puntos de vista diferentes.
Que manía, cada vez que sale una noticia crítica con la actuación de microsoft, no deja ver los comentarios a todo el mundo. Si microsoft está provocando esto, entonces es muy posible que permitiese los ataques en China a la privacidad intencionadamente.
Aparentemente microsoft está dispuesta a atacar los datos privados en google por parte del gobierno chino, siempre que ellos (microsoft) también puedan acceder a esos datos.
The Inquirer:
los comentarios no pueden ser leídos por todos, algunos no podemos leerlos, ni tampoco los comentarios que hemos aportado nosotros mismos.
Este es posiblemente un motivo más grande para perder visitas a la página que los problemas con el filtro que algunos no pudieron superar.
Vosotros mismos comprobaréis si se pierden visitas desde que pasan cosas como esta. Tal vez no os importe y prefiráis seguirle el juego al “sospechoso”, eso es decisión vuestra, pero la gente que navega por Internet, normalmente tienen una moralidad suficiente como para no gustarle tener que soportar cosas como esta. El que los trolls se hagan notar, no quiere decir que no sean una minoría despreciable (interprétese la palabra en los dos sentidos).
Pingback: Isaiasv.com » Blog Archive » Lecturas Recomendas del día