Es lo que parece Microsoft ofecernos todos los meses cuando llega su ya tradicional entrega de parches. ¿Truco o trato?¿Dejas tus sistemas expuestos ante los fallos de seguridad que comenzarán a explotarse ‘in the wild’ escasas horas después de la publicación de los mismos o te expones a lo que pueda sobrevenir si los despliegas de forma inmediata?
Hagamos un poco de memoria. En abril fue el MS06-015, un parche crÃtico que permitÃa la ejecución remota de código y que afectaba a la práctica totalidad de sistemas de Microsoft. El parche distribuido inicialmente introducÃa problemas de acceso a ciertos directorios y problemas de incompatibilidades con software de Hewlett Packard.
En junio nos encontramos con el parche MS06-025, otra vulnerabilidad crÃtica que permite la ejecución remota de código y cuyo parcheo provocaba problemas con las conexiones de acceso telefónico. Alguno podrÃa pensar que la utilización de estas conexiones es cada vez más limitada (con toda la razón) pero si pensamos que el parche atajaba una vulnerabilidad en el subsistema RAS que, precisamente, se sigue usando en determinados entornos para el acceso a través de este tipo de lÃneas, pues…
Este mes de agosto también nos encontramos con problemas. En parches crÃticos, por supuesto. El MS06-042 provoca problemas con ciertos controles ActiveX. Por otro lado y aunque aún no está confirmado oficialmente, el MS06-040 (el más activamente atacado este mes por el momento) parece presentar problemas en entornos con windows 2003 donde es preciso que se manejen grandes bloques de memoria contigua superiores a 1Gbyte… Esto, que no es tan raro en entornos de producción, me harÃa pensarlo dos veces antes de aplicar el parche.
Este tipo de errores tan frecuentes dan que pensar acerca de los controles de calidad de Microsoft. Se supone que uno de los beneficios de esta concentración mensual de parches aparte de ‘educar’ al usuario en su aplicación (y hacerle menos visible el continuo ‘chorreo’ de errores crÃticos, por supuesto) deberÃa de ser un mayor control de los parches antes de su distribución. No todas las empresas pueden permitirse el lujo de tener un entorno de pruebas y técnicos dedicados a la comprobación de estos errores antes de la distribución de parches asà que optamos por no distribuirlos de forma inmediata sino después de aproximadamente una semana y de consumir muchas horas pendiente de las listas de correo especializadas y de las posibles alteraciones que los parches puedan provocar en nuestros entornos. Introducir un mal real en un entorno productivo para atajar uno potencial no es una buena práctica en absoluto. Truco o trato, en definitiva ¿qué prefieres?
ACTUALIZACI�N: Hoy ya se reconocen desde Microsoft los «daños colaterales» provocados por el parche MS06-040.
Y aún hay más problemas con la aplicación del MS06-042. ¡Brrrrr!
Lo que tienen que hacer es explorar mejor el sistema antes de sacarlo, asoi se dejan de tanto parche coñazo
Me imagino que al final, cuando tengan competencia muy seria, tendrán que ponerse las pilas, apretarse las tuercas y no cometer esta serie de fallos que afectan a demasiados clientes.
De momento, debido a su monopolio fáctico en ciertos sectores, se permiten este lujo de cometer errores con demasiada frecuencia y no subsanarlos en un tiempo prudencial.