Microsoft solucionará una vulnerabilidad crítica en Internet Explorer, 8 meses después

Escrito por Jorge Calderón
Software

Los de Redmond han publicado un avance sobre los boletines de correcciones que serán incluidos en la próxima actualización de seguridad del próximo martes. Uno de ellos resolverá una vulnerabilidad crítica que afecta a Internet Explorer y que fue descubierta nada más y nada menos que hace 8 meses.

Microsoft ha publicado en un avance el contenido de la importante actualización que lanzará el próximo martes correspondiente al mes de junio, en la que liberará siete boletines de seguridad que se ocuparán de varias vulnerabilidades descubiertas en sus productos, de los cuales dos son del tipo crítico y el resto son importantes. Estos fallos están afectando varios programas, incluidos Microsoft Word, Microsoft Office e Internet Explorer, aunque en este último caso ya han pasado 8 meses desde que una de sus vulnerabilidades fue descubierta. Sin duda, un amplio periodo de tiempo en el que los usuarios han estado expuestos a la posibilidad de un ataque.

OLYMPUS DIGITAL CAMERA

El boletín uno es el considerado como más crítico, ya que solucionará una vulnerabilidad del tipo zero-day que permite la ejecución remota de código y que afecta a todas las versiones de Internet Explorer, incluida IE11 para Windows 8.1. Las versiones servidor de Windows también están afectadas, aunque a un nivel bajo de gravedad, ya que por defecto Internet Explorer se ejecuta en una configuración de seguridad mejorada, pero el resto de versiones, incluidas las de los usuarios particulares, si están afectadas desde octubre de 2013, por lo que los de Redmond han invertido y esperado 8 meses para ofrecer una solución.

Esta vulnerabilidad permite a un atacante remoto ejecutar código arbitrario mediante JavaScript, pero hasta ahora, no se sabe si ha sido utilizada por algún hacker para realizar ataques, según asegura Microsoft. “La actualización para Internet Explorer se ocupa de CVE-2014-1770, la cual no hemos detectado en ningún ataque activo”. Los de Redmond han mantenido en secreto esta vulnerabilidad crítica desde octubre de 2013, pero el pasado mes el equipo de la Zero Day Initiative reveló la existencia de la vulnerabilidad públicamente. Esta revelación fue provocada porque Microsoft no fue capaz de resolver el fallo en el plazo de 180 días dado por los investigadores tras avisar de su existencia.

Otras correcciones importantes, pero no para Windows XP

El resto de boletines incluyen importantes correcciones de vulnerabilidad en varios productos de Microsoft, como Office o el propio Windows. Existe también otra vulnerabilidad que permite ejecutar de forma remota código y se ha catalogado como crítica. Ésta afecta a todas las versiones de Windows incluyendo las de servidor. El resto son correcciones sobre fallos que afectan a LyncServer, Windows Vista en adelante y Windows 7 en adelante. La de Vista en adelante tiene que ver con una vulnerabilidad que permite ataques DoS, y la de Windows 7 en adelante con una vulnerabilidad que permite hacer falsificaciones de datos. De todas formas, una vez más se confirma que el fin del soporte de Windows XP es total, por lo que esta versión no recibirá ninguna actualización de seguridad, dejando a sus usuarios expuestos a varios peligros.

Fuente > The Hacker News

Continúa leyendo
Comentarios
10 comentarios
  1. Anónimo
    Usuario no registrado
    06 Jun, 14 12:41 pm

    Esto con el software libre no pasa (siempre que se den cuenta). Pero con el software privativo, las vulnerabilidades aunque sepas que existen no las puedes corregir a no ser que lo haga la propia empresa.

    1. Anónimo
      Usuario no registrado
      06 Jun, 14 1:18 pm

      Claro, de ahí que OpenSSL (HearthBleed) y la de GnuTLS fuera descubierto rápidamente, apeñas unos años después…chapó por la ignorancia de algunos 🙂

      1. Anónimo
        Usuario no registrado
        06 Jun, 14 5:34 pm

        ¿Has leído bien lo que va entre paréntesis? Me refería a que Microsoft conoce ciertas vulnerabilidades desde hace meses (le avisan las empresas de seguridad) y se lo pasa por el forro, sacan los parches cuando les da la gana. Los fallos están tanto en software libre como en software privativo, la diferencia está en que si usas un programa de software libre tú mismo puedes corregirlo si eres programador, sino te toca esperar a que la empresa quiera corregir el fallo.

        1. Anónimo
          Usuario no registrado
          06 Jun, 14 8:31 pm

          “si usas un programa de software libre tú mismo puedes corregirlo si eres programador”

          Ale venga, pues ánimo y a por el fallo en OpenSSL o el de GNU TLS que te comentan. Si no sabes programas, con un CCC seguro que te sirve. Lo dicho: Animo.

          Ironías aparte, hay que saber UN HUEVO de programación (y parte del otro huevo también) para corregir cualquier fallo en la mayoría de aplicaciones de software libre. Así que tu opción se queda en: “Te esperas a que alguien corrija el fallo para que tú puedas disfrutarlo”.

          1. Anónimo
            Usuario no registrado
            07 Jun, 14 1:00 am

            Cuando en adslzone se anuncian los fallos ya los encuentro corregidos en Debian.
            Más rápido imposible.

          2. Anónimo
            Usuario no registrado
            07 Jun, 14 7:56 am

            De eso nada monada, no habré corregido fallos en OpenSSL pero sí en otras librerías que utilizo a menudo. Si eres un programador de verdad, un ingeniero informático que ha estudiado 5 años de carrera y no un tío que ha hecho el curso IBM de programación ese en el que se descolgaba un tío del techo al estilo Misión Imposible o el que juega a Watch Dogs y se cree que es un hacker, entonces ya te digo yo que puedes corregirlo.

    2. Anónimo
      Usuario no registrado
      06 Jun, 14 3:24 pm

      Claro claro, si hay una vulnerabilidad en Firefox (es libre? , no lo se la verdad) te bajas el código lo parcheas y solucionado. Si de de verdad eres capaz de hacer eso, te contrató mañana… Cuanto quieres? 70000, 100000. No problem, hecho

      1. Anónimo
        Usuario no registrado
        06 Jun, 14 8:34 pm

        Ya sabes, aquí algunos se creen que una librería se programa desde el esmarfon android en lo que vas al baño a plantar un pino.

        Ehhh, pero que es libre. Puedo ver el código.

        Ya dice el refrán: Ver y no joder … Pues aquí, lo mismo pero sin gozo xDD

  2. Anónimo
    Usuario no registrado
    08 Jun, 14 11:41 am

    es como si sacan el firefox 30 y tienen que sacar un parche por que su versión 10 tiene un exploit… coño, actualiza!, es mas, quien siga usando versiones viejas, tampoco creo que metan los bugfix