Este fin de semana nos fuimos a casa con una nueva vulnerabilidad crÃtica en el Internet Explorer que permite ejecutar código de forma remota en la máquina del usuario afectado. O sea en aproximadamente el 80% de los ordenadores de este planeta. Una alegrÃa, vamos.
La vulnerabilidad fue remitida por la gente de Computer Terrorism y, como decÃan en Kriptópolis, casi no merece la pena hablar de ello por acostumbrado… yo creo que a estas alturas lo que deberÃamos de publicitar como noticia son los periodos en que no existiera ninguna vulnerabiliad conocida y no parcheada sobre este infame navegador…
No obstante, viendo las listas de configuraciones vulnerables publicadas por la propia Microsoft y por Computer Terrorism y comparando ambas yo creo que si que merece la pena comentar al menos un par de cosas al respecto:
- Microsoft da como vulnerables todas las configuraciones de Explorer 6 (incluido el ‘super-seguro’ XP SP2) y también la versión 5.01 del navegador pero no la versión 5.5 del mismo… ¿que diablos ha pasado aquÃ?¿un bug que existÃa en la versión 5.01, se corrige en la 5.5 y vuelve a aparecer en la 6.0?¿pero cómo trabajan estos chicos?
- Por otro lado, Microsoft no lo menciona pero Computer Terrorism si: la versión beta 2 del Explorer 7 también es vulnerable. Y se trata ya del segundo fallo crÃtico que ‘salta’ del código del Explorer 6 al 7 ¿de verdad que tenemos que creernos que la siguiente versión del explorer corregirá los continuos problemas de seguridad de la actual?
Microsoft ha anunciado que no habrá parche inmediato y que este se liberará en forma de parche acumulativo el 11 de abril a pesar de que reconocen (en la misma nota) que esta vulnerabilidad ya está siendo explotada. Los chicos de Hispasec (como siempre a pie de tajo) publican un boletÃn donde dan una serie de consejos para minimizar el problema y la lista de antivirus que detectan los primeros ataques detectados. Conseguir un exploit (o dos) para jugar con el es tan fácil como ir al supermercado, asà que ya veremos si tenemos movida en estas dos semanas que restan hasta el segundo martes de abril…
Ahumado debe de estar ya… Y vosotros ¿A qué estais esperando?
ACTUALIZACI�N: Leo en Kriptópolis que, al igual que ya ocurrió con la vulnerabilidad de los WMF, ha aparecido un parche no oficial para cubrir la vulnerabilidad. En este caso el desarrollo ha corrido a cargo de eEye Digital Security (ya sabeis, la gente de Retina). Microsoft, por su parte, al igual que hizo ya en la otra ocasión, desaconseja la aplicación de este parche a pesar de que los fuentes del mismo están disponibles para todo el mundo.
Hoy aparece un artÃculo en El PaÃs sobre la nueva guerra de los navegadores y aunque no se mete en demasiadas honduras usan una frase que refleja muy bien lo que opino: «la posición estratégica que supone estar en el tubo por el que entraban los usuarios.». La batalla está en los servicios en lÃnea como tú dices José, pero quien controle el navegador predominante tendrá una posición de partida decisiva.
Bueno José MarÃa,
aunque sabes que MS no es santo de mi devoción, sino todo lo contrario, los «regression bugs» no son algo sólo suyo y existen en todas (o casi) las compañÃas.
A mà me parece más criticable el que permitan que una vulnerabilidad crÃtica, para la ya hay exploits disponibles para cualquiera, quede sin corregir hasta pasado casi un mes desde que se conoció la vulnerabilidad. Eso es ser sensible a los problemas de los usuarios!!!
Pues mira, no supe de esa extensión hasta mes y medio despues de necesitar usar esa página. 😉
Por supuesto, creo que es algo indiscutible que a cualquier desarrollador que le aparezca un regression bug se le deberÃÂa caer la cara de verguenza. Dice muy poco del cuidado con que hace las cosas. De todas formas yo no creo que el gran mercado de MS (ni de otras compañÃas) sea ni vaya a ser el navegador. Creo que el tema irá más por el back-end y dar servicios en lÃÂnea (correo, chat, almacenamiento, etc.) como está empezando a hacer Google. Eso para los usuarios domésticos y vender Office a precio de oro a las empresas. En cualquier caso, creo que todo el mundo está de acuerdo en que la metodologÃa de desarrollo de MS deja mucho que desear y aunque cambian constantemente (o eso dicen) simpre están en las mismas.
Si entiendo el mecanismo por el que se propagan estos errores José, pero no por ello los disculpo: ¡para eso se crearon las pruebas de regresión! El explorer deberÃa de ser un producto mucho más vigilado porque está en el punto de vista de todo el mundo, es la puerta de entrada de cada vez más amenazas y, a nadie se nos escapa, es el terreno donde se va a librar en los próximos años la mayor batalla de mercado porque todo el mundo, usuarios y empresas, apuestan cada vez más por las aplicaciones web ya no a nivel local o de intranet, sino de internet.
O puedes utilizar la extensión para firefox IETab 😛
Loretahur: no, exactamente. Si quieres entrar en la página de la Empresa Municipal del Suelo de Leganés, no lo puedes hacer con el Firefox. Es mejor hacerlo con el Dillo. xDDDD
Conclusión de todo esto: Firefox rules!!!
La gente no quiere dejar de usar el IE. No saben de bugs, vulnerabilidades ni exploits. No entienden de virus ni gusanos.
El usuario medio vive en la ignorancia y la comodidad de su navegador web predeterminado e instalado ya en el sistema.
Es lo mismo por lo que usan Windows en masa (sin licencias) en vez de otro sistema.
En el último año tan sólo he convencido a 4 personas para que usen el Firefox, pese a que he advertido de los peligros del IE a decenas. Y dos porque son informáticos. xD
No sé. Es cuestión de tiempo y esfuerzo mentalizar a la gente.