Internet Explorer de nuevo en el ‘candelabro’

Este fin de semana nos fuimos a casa con una nueva vulnerabilidad crítica en el Internet Explorer que permite ejecutar código de forma remota en la máquina del usuario afectado. O sea en aproximadamente el 80% de los ordenadores de este planeta. Una alegría, vamos.

La vulnerabilidad fue remitida por la gente de Computer Terrorism y, como decían en Kriptópolis, casi no merece la pena hablar de ello por acostumbrado… yo creo que a estas alturas lo que deberíamos de publicitar como noticia son los periodos en que no existiera ninguna vulnerabiliad conocida y no parcheada sobre este infame navegador…

No obstante, viendo las listas de configuraciones vulnerables publicadas por la propia Microsoft y por Computer Terrorism y comparando ambas yo creo que si que merece la pena comentar al menos un par de cosas al respecto:

  • Microsoft da como vulnerables todas las configuraciones de Explorer 6 (incluido el ‘super-seguro’ XP SP2) y también la versión 5.01 del navegador pero no la versión 5.5 del mismo… ¿que diablos ha pasado aquí?¿un bug que existía en la versión 5.01, se corrige en la 5.5 y vuelve a aparecer en la 6.0?¿pero cómo trabajan estos chicos?
  • Por otro lado, Microsoft no lo menciona pero Computer Terrorism si: la versión beta 2 del Explorer 7 también es vulnerable. Y se trata ya del segundo fallo crítico que ‘salta’ del código del Explorer 6 al 7 ¿de verdad que tenemos que creernos que la siguiente versión del explorer corregirá los continuos problemas de seguridad de la actual?

Microsoft ha anunciado que no habrá parche inmediato y que este se liberará en forma de parche acumulativo el 11 de abril a pesar de que reconocen (en la misma nota) que esta vulnerabilidad ya está siendo explotada. Los chicos de Hispasec (como siempre a pie de tajo) publican un boletín donde dan una serie de consejos para minimizar el problema y la lista de antivirus que detectan los primeros ataques detectados. Conseguir un exploit (o dos) para jugar con el es tan fácil como ir al supermercado, así que ya veremos si tenemos movida en estas dos semanas que restan hasta el segundo martes de abril…

Ahumado debe de estar ya… Y vosotros ¿A qué estais esperando?

ACTUALIZACI�N: Leo en Kriptópolis que, al igual que ya ocurrió con la vulnerabilidad de los WMF, ha aparecido un parche no oficial para cubrir la vulnerabilidad. En este caso el desarrollo ha corrido a cargo de eEye Digital Security (ya sabeis, la gente de Retina). Microsoft, por su parte, al igual que hizo ya en la otra ocasión, desaconseja la aplicación de este parche a pesar de que los fuentes del mismo están disponibles para todo el mundo.

9 comentarios

  1. Hoy aparece un artículo en El País sobre la nueva guerra de los navegadores y aunque no se mete en demasiadas honduras usan una frase que refleja muy bien lo que opino: «la posición estratégica que supone estar en el tubo por el que entraban los usuarios.». La batalla está en los servicios en línea como tú dices José, pero quien controle el navegador predominante tendrá una posición de partida decisiva.

  2. Bueno José María,

    aunque sabes que MS no es santo de mi devoción, sino todo lo contrario, los «regression bugs» no son algo sólo suyo y existen en todas (o casi) las compañías.

    A mí me parece más criticable el que permitan que una vulnerabilidad crítica, para la ya hay exploits disponibles para cualquiera, quede sin corregir hasta pasado casi un mes desde que se conoció la vulnerabilidad. Eso es ser sensible a los problemas de los usuarios!!!

  3. Por supuesto, creo que es algo indiscutible que a cualquier desarrollador que le aparezca un regression bug se le deberí­a caer la cara de verguenza. Dice muy poco del cuidado con que hace las cosas. De todas formas yo no creo que el gran mercado de MS (ni de otras compañías) sea ni vaya a ser el navegador. Creo que el tema irá más por el back-end y dar servicios en lí­nea (correo, chat, almacenamiento, etc.) como está empezando a hacer Google. Eso para los usuarios domésticos y vender Office a precio de oro a las empresas. En cualquier caso, creo que todo el mundo está de acuerdo en que la metodología de desarrollo de MS deja mucho que desear y aunque cambian constantemente (o eso dicen) simpre están en las mismas.

  4. Si entiendo el mecanismo por el que se propagan estos errores José, pero no por ello los disculpo: ¡para eso se crearon las pruebas de regresión! El explorer debería de ser un producto mucho más vigilado porque está en el punto de vista de todo el mundo, es la puerta de entrada de cada vez más amenazas y, a nadie se nos escapa, es el terreno donde se va a librar en los próximos años la mayor batalla de mercado porque todo el mundo, usuarios y empresas, apuestan cada vez más por las aplicaciones web ya no a nivel local o de intranet, sino de internet.

  5. La gente no quiere dejar de usar el IE. No saben de bugs, vulnerabilidades ni exploits. No entienden de virus ni gusanos.

    El usuario medio vive en la ignorancia y la comodidad de su navegador web predeterminado e instalado ya en el sistema.

    Es lo mismo por lo que usan Windows en masa (sin licencias) en vez de otro sistema.

    En el último año tan sólo he convencido a 4 personas para que usen el Firefox, pese a que he advertido de los peligros del IE a decenas. Y dos porque son informáticos. xD

    No sé. Es cuestión de tiempo y esfuerzo mentalizar a la gente.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información

ACEPTAR
Aviso de cookies