Categories: CortafuegosSeguridad

Microsoft publicará dos actualizaciones de seguridad el próximo martes

Si en febrero fueron siete los boletines de seguridad, este mes se han reducido a dos las actualizaciones que prevé publicar Microsoft el día 14 de marzo. Una ha sido calificada como de importante, y afecta a Microsoft Windows. El otro parche está destinado a solventar una vulnerabilidad crítica en Microsoft Office.

Es posible que el fallo que se corrige en el sistema operativo se corresponda (por fin) con el que fue descubierto por eEye en octubre de 2005 y todavía no ha sido corregido por Microsoft. En la lista que mantienen los prestigiosos investigadores, se muestran sin detalles técnicos los agujeros de seguridad no solventados por los fabricantes, aun habiéndoles sido notificados. En la lista, siempre según eEye, encontramos una alerta de Microsoft, anunciada a la empresa, calificada como de “severidad media” y no parcheada, con más de 150 días de antigüedad.

No parece que los detalles de las vulnerabilidades para las que se esperan los parches se hayan hecho públicos, pues los fallos no se están aprovechando masivamente para infectar máquinas. Al menos, a gran escala no parece estar ocurriendo. Esto no evita que la vulnerabilidad exista, sea real y aprovechable aunque sea por un reducido número de personas que han tenido acceso de cualquier forma a sus detalles técnicos. Jason Miller en su artículo “The value of vulnerabilities” reflexiona sobre la libre publicación de las vulnerabilidades y el valor que alcanzan cuando todavía no son públicas. En este estado, para muchos, las vulnerabilidades no existen, pues al no ser públicas parecen no suponer una amenaza.

Muy al contrario, es en este momento cuando el valor potencial de una vulnerabilidad se dispara, precisamente por mantenerse en secreto y no existir solución ni conocimiento para, al menos, intentar evitarla. Recordemos que por ejemplo, se rumorea que la infame vulnerabilidad WMF fue descubierta mucho antes del día que se hizo pública. Se calcula que llevaba semanas en manos de mafias que estaban especulando con ella, y que el código que la explotaba fue vendido por 4.000 dólares.

Si el “full-disclosure” o revelación pública de toda la información relativa a una vulnerabilidad puede beneficiar a la comunidad, la ocultación y secretismo al respecto puede beneficiar (y de qué manera) al descubridor que sabe ser discreto y negociar convenientemente con la información que tiene entre manos.

Redacción

Recent Posts

Google paga 5.000 millones de dólares para resolver una demanda colectiva

Los usuarios denunciaban que la compañía los había rastreado incluso cuando usaban el modo privado…

4 meses ago

Las pymes valencianas pueden optar a ayudas de 5,5 millones de euros por proyectos de I+D

El Instituto Valenciano de Competitividad Empresarial financiará aquellas iniciativas que puedan solucionar incertidumbres científicas o…

4 meses ago

La guerra entre Israel y Gaza no acobarda a los inversores extranjeros de startups

Solo en el cuarto trimestre las empresas emergentes del país han levantado 1.500 millones de…

4 meses ago

Navarra ya cuenta con más de 80 startups

La región tiene 13 scaleups y destaca por sus empresas emergentes de salud y agrotech.

4 meses ago

Las startups valencianas progresaron adecuadamente en 2023

Valencia ha atraído en el primer semestre del año 30 millones de euros de inversión…

4 meses ago

El New York Times acusa a Open AI y Microsoft de infringir sus derechos de autor

El diario estadounidense demanda a las dos compañías tecnológicas por haber usado sus contenidos para…

4 meses ago