La vulnerabilidad fue remitida por la gente de Computer Terrorism y, como decían en Kriptópolis, casi no merece la pena hablar de ello por acostumbrado… yo creo que a estas alturas lo que deberíamos de publicitar como noticia son los periodos en que no existiera ninguna vulnerabiliad conocida y no parcheada sobre este infame navegador…
No obstante, viendo las listas de configuraciones vulnerables publicadas por la propia Microsoft y por Computer Terrorism y comparando ambas yo creo que si que merece la pena comentar al menos un par de cosas al respecto:
- Microsoft da como vulnerables todas las configuraciones de Explorer 6 (incluido el ‘super-seguro’ XP SP2) y también la versión 5.01 del navegador pero no la versión 5.5 del mismo… ¿que diablos ha pasado aquí?¿un bug que existía en la versión 5.01, se corrige en la 5.5 y vuelve a aparecer en la 6.0?¿pero cómo trabajan estos chicos?
- Por otro lado, Microsoft no lo menciona pero Computer Terrorism si: la versión beta 2 del Explorer 7 también es vulnerable. Y se trata ya del segundo fallo crítico que ‘salta’ del código del Explorer 6 al 7 ¿de verdad que tenemos que creernos que la siguiente versión del explorer corregirá los continuos problemas de seguridad de la actual?
Microsoft ha anunciado que no habrá parche inmediato y que este se liberará en forma de parche acumulativo el 11 de abril a pesar de que reconocen (en la misma nota) que esta vulnerabilidad ya está siendo explotada. Los chicos de Hispasec (como siempre a pie de tajo) publican un boletín donde dan una serie de consejos para minimizar el problema y la lista de antivirus que detectan los primeros ataques detectados. Conseguir un exploit (o dos) para jugar con el es tan fácil como ir al supermercado, así que ya veremos si tenemos movida en estas dos semanas que restan hasta el segundo martes de abril…
Ahumado debe de estar ya… Y vosotros ¿A qué estais esperando?
ACTUALIZACI?N: Leo en Kriptópolis que, al igual que ya ocurrió con la vulnerabilidad de los WMF, ha aparecido un parche no oficial para cubrir la vulnerabilidad. En este caso el desarrollo ha corrido a cargo de eEye Digital Security (ya sabeis, la gente de Retina). Microsoft, por su parte, al igual que hizo ya en la otra ocasión, desaconseja la aplicación de este parche a pesar de que los fuentes del mismo están disponibles para todo el mundo.