Microsoft publicará dos actualizaciones de seguridad el próximo martes
En su ciclo habitual de actualizaciones los segundos martes de cada mes, Microsoft ha anunciado que en esta ocasión se esperan “sólo” dos parches de seguridad, uno destinado a su sistema operativo Windows y otro a su suite ofimática Office.
Si en febrero fueron siete los boletines de seguridad, este mes se han reducido a dos las actualizaciones que prevé publicar Microsoft el día 14 de marzo. Una ha sido calificada como de importante, y afecta a Microsoft Windows. El otro parche está destinado a solventar una vulnerabilidad crítica en Microsoft Office.
Es posible que el fallo que se corrige en el sistema operativo se corresponda (por fin) con el que fue descubierto por eEye en octubre de 2005 y todavía no ha sido corregido por Microsoft. En la lista que mantienen los prestigiosos investigadores, se muestran sin detalles técnicos los agujeros de seguridad no solventados por los fabricantes, aun habiéndoles sido notificados. En la lista, siempre según eEye, encontramos una alerta de Microsoft, anunciada a la empresa, calificada como de “severidad media” y no parcheada, con más de 150 días de antigüedad.
No parece que los detalles de las vulnerabilidades para las que se esperan los parches se hayan hecho públicos, pues los fallos no se están aprovechando masivamente para infectar máquinas. Al menos, a gran escala no parece estar ocurriendo. Esto no evita que la vulnerabilidad exista, sea real y aprovechable aunque sea por un reducido número de personas que han tenido acceso de cualquier forma a sus detalles técnicos. Jason Miller en su artículo “The value of vulnerabilities” reflexiona sobre la libre publicación de las vulnerabilidades y el valor que alcanzan cuando todavía no son públicas. En este estado, para muchos, las vulnerabilidades no existen, pues al no ser públicas parecen no suponer una amenaza.
Muy al contrario, es en este momento cuando el valor potencial de una vulnerabilidad se dispara, precisamente por mantenerse en secreto y no existir solución ni conocimiento para, al menos, intentar evitarla. Recordemos que por ejemplo, se rumorea que la infame vulnerabilidad WMF fue descubierta mucho antes del día que se hizo pública. Se calcula que llevaba semanas en manos de mafias que estaban especulando con ella, y que el código que la explotaba fue vendido por 4.000 dólares.
Si el “full-disclosure” o revelación pública de toda la información relativa a una vulnerabilidad puede beneficiar a la comunidad, la ocultación y secretismo al respecto puede beneficiar (y de qué manera) al descubridor que sabe ser discreto y negociar convenientemente con la información que tiene entre manos.