Microsoft soluciona el grave fallo de seguridad de Internet Explorer un mes después de su hallazgo

Software

Un mes. Éste ha sido el plazo que se ha demorado el lanzamiento del parche de Microsoft para solucionar el grave fallo de seguridad de Internet Explorer. La actualización ya está llegado de forma automática a los usuarios de Windows, por lo que es muy recomendable su instalación.

Nuestros compañeros de Softzone.es recogen la publicación por parte de Microsoft de los parches de seguridad para su software correspondientes al mes de marzo. Como viene siendo habitual por parte de la compañía estadounidense, ha esperado hasta el segundo martes del mes para lanzar los parches que acaban con las vulnerabilidades detectadas en el último mes.

En este caso se trata de los boletines denominados MS14-012 hasta el 016 y gracias a los mismos es posible acabar con fallos considerados “críticos”. Tal es el caso del parche que soluciona la grave vulnerabilidad de Internet Explorer detectada en febrero por la empresa de seguridad FireEye. En concreto fue el 11 de febrero cuando la compañía identificó un exploit 0-day en las distintas versiones del navegador que ponía en riesgo la seguridad de los usuarios.

windows-updateOtra vulnerabilidad crítica en Windows

Por otro lado, la actualización de marzo también soluciona otra vulnerabilidad calificada como “crítica” que afecta a Windows. El fallo permitía la ejecución remota de código en caso de que el usuario del sistema operativo abriese un archivo de imagen diseñado para aprovechar el exploit. Con el mismo, los atacantes podían lograr el mismo nivel de derechos de usuario que el del usuario del PC atacado.
Por su parte, los otros tres boletines han sido calificados como “importantes” y solventan fallos menores de sistema que afectan tanto a los sistemas operativos como a Microsoft Silverlight. A su vez, la compañía de Redmond ha actualiado su herramienta de protección contra el malware. Mediante Windows Update se puede acceder a dichas actualizaciones.
Escrito por Redacción

Fuente > ADSLZone

Continúa leyendo
Comentarios
9 comentarios
  1. Anónimo
    Usuario no registrado
    12 Mar, 14 2:43 pm

    error, no ha tardado un mes, sino que se ha liberado la correcion en la liberacion regular de microsof el segundo marte de cada mes.

    no es lo mismo. evidentemetne no ha sido un error grave ya que sino ms hubiese lanzado el parche de inmediato como ha sucedido otras veces. Y como lo han liberado en el ciclo normal de actualizaciones regulares. pues eso

    1. ccartola 12 Mar, 14 3:33 pm

      Pues no tienes razón porque no te has leído la noticia. Lee ahora “Como viene siendo habitual por parte de la compañía estadounidense, ha esperado hasta el segundo martes del mes para lanzar los parches que acaban con las vulnerabilidades detectadas en el último mes.”

      Con lo cual te podrías haber evitado el post.

    2. Anónimo
      Usuario no registrado
      12 Mar, 14 5:27 pm

      Que cachondo. Es decir, que si Microsoft crea el parche pero no le sale de las narices distribuirlo entre los usuarios, hay que dar el problema como solucionado porque el parche existe.
      Aparte de lo que CCARTOLA ya te ha explicado.

      1. Anónimo
        Usuario no registrado
        12 Mar, 14 6:16 pm

        Está claro que no conoces cómo distribuye MS los fixes (y junto a él, Adobe, Oracle, etc…).
        MS tiene la política de publicar todos los fixes/rollup updates/etc el segundo martes de cada mes. Si hay un fix crítico, del que se sabe que se está explotando ya la vulnerabilidad activamente, entonces lo publica fuera de plazo y cuanto antes sin esperar a la fecha oficial en cuanto lo tenga preparado.
        Esto, para las empresas y para los usuarios, facilita bastante y te permite anticiparte para planificar intervenciones y actualizaciones.

        1. Anónimo
          Usuario no registrado
          12 Mar, 14 6:34 pm

          Por si acaso, para que más info:
          Cuando se publica el primer boletín de MS de ello, al tener que desarrollar el fix, ya dejó publicado un workaround para mientras tanto evitar el efecto del exploit:
          http://webcache.googleusercontent.com/search?q=cache:hkdtArSR8YAJ:support.microsoft.com/kb/2934088+&cd=1&hl=en&ct=clnk

          http://blogs.technet.com/b/srd/archive/2013/09/17/cve-2013-3893-fix-it-workaround-available.aspx
          http://blogs.technet.com/b/srd/archive/2014/02/19/fix-it-tool-available-to-block-internet-explorer-attacks-leveraging-cve-2014-0322.aspx

          Ahora que se ha sacado el fix como tal, no sólo para corregir esa vulnerabilidad, si no otras tantas que aún no se han hecho públicas hasta que no se hubiera publicado este fix, tal y como ya recoge el boletín actual (ver los CVE que cubre en las notas…):
          https://technet.microsoft.com/en-us/security/bulletin/ms14-012

          Por eso es importante publicar bien la información con todos sus datos y referencias, para evitar posibles suspicacias o parecer ser capciosos en ciertos temas.

          1. Anónimo
            Usuario no registrado
            13 Mar, 14 12:41 am

            ¿comunity manager quizas?

        2. Anónimo
          Usuario no registrado
          12 Mar, 14 7:30 pm

          Claro que sé como trabaja Microsoft y no hablaba de eso. A lo que voy es que, según el primer comentario, una vez hecho el parche ya está solucionado el error, sin falta de distribuir dicho arreglo.

  2. Anónimo
    Usuario no registrado
    12 Mar, 14 6:48 pm

    ¿un mes desde que lo descubren? quizas deberian contratar a mas gente cualificada para arreglarlo en menos tiempo, ¿alguien ha dicho horas?

    1. Anónimo
      Usuario no registrado
      12 Mar, 14 6:58 pm

      No, cuando se reportó la vulnerabilidad, MS ya sacó un workaround para evitarlo; el fix actual, si te lees el boletín, a parte del problema inicial, corrige unos cuantos más que aún no se han publicado hasta que este fix fuera oficial solventándolos.
      Al contrario de lo que te pueda parecer, desarrollar un fix no es cuestión de horas…y a parte, esto es la fecha de publicación del fix, no cuándo ha sido solventado (3 días después estaba publicado el workaround):
      http://blogs.technet.com/b/srd/archive/2014/02/19/fix-it-tool-available-to-block-internet-explorer-attacks-leveraging-cve-2014-0322.aspx