No Le Saque Al Parche
El pasado Martes 13, -no regresó Jason Vorhees, sorry kids- pero si fue el tradicional “Martes de Parches” de Microsoft, que es cada segundo martes de cada mes.
En esta ocasión Microsoft liberó 3 parches criticos:
Uno para Word, “dos nuevas vulnerabilidades reportadas en forma privada”. Estas vulnerabilidades permiten que un hacker pueda instalar código remoto a través de un archivo creado de manera maliciosa. De tal forma que si un usuario hace clic en el archivo, el hacker sería capaz de instalar, visualizar, editar, cambiar o borrar permisos en la PC afectada, es decir podría crear nuevas cuentas y ajustar perfiles de usuario para elevar privilegioos tanto en la PC como en la red.
El segundo afecta al Publisher y el tercero, que es el que me llamó la atención dice que es posible provocar un desbordamiento de buffer, lo cual es peligroso porque si haces un desbordamiento de buffer, potencialmente puedes apuntar hacia áreas de memoria ocupadas por otros programas y cargar codigo para ejecutar y hacer lo que tu quieras. Entonces causa un desbordamiento de buffer en el motor Jet (Jet Engine) , que lo ocupan los archivos de Access, y todo el resto de Office, esto incluye al Outlook. Para explotar esta vulnerabilidad, un atacante tendría que lograr que un usuario abriera un archivo de word con una base de datos de Access embebida en él, o también si un usuario utiliza la vista previa del correo en Outlook, con e-mails de formato HTML estaría vulnerable.
Entonces un investigador de seguridad informática, de estos que se dedican a probar aplicaciones comerciales y a encontrar vulnerabilidades potenciales y reportarlas, la reportó a Microsoft, como normalmente lo hacen. Es decir, estos individuos y organizaciones, les avisan en privado a las grandes compañías de software como Microsoft, Oracle, etc, de las vulnerabilidades y les asignan un grado de peligrosidad, y también dan un tiempo antes de publicar los detalles de la vulnerabilidad. De esta forma las compañías tienen que apurarse a desarrollar, probar y liberar parches, de lo contrario se atienen a que se publiquen los detalles y que hackers los vean y desarrollen virus y aplicaciones maliciosas que exploten estas fallas. Microsoft tiene periodicidad fija para liberar parches, pero Oracle por ejemplo creo que lo hacen allá cada que quieren, llegan a pasar meses para que liberen y tienen mala fama de que no los prueban bien con todos los casos posibles y de que siguen a pie juntillas solo el caso que les reportan las compañías de seguridad. Los SAP-ers comenten cada cuando se liberan parches para enriquecer la cultura TI…
Y bueno se ha dado el caso de Microsoft de que liberan un cierto parche, y este causa efectos secundarios, asi como si fuera un medicamento, que te compone una cosa y te descompone otra, y han tenido que sacar de emergencia incluso antes del siguiente mes, un parche para el parche anterior. Por eso luego las compañías y usuarios no tenemos confianza de instalar parches tan pronto salen, sino que a veces creemos más conveniente esperar un rato, en lo que vemos que no se han reportado broncas con el parche.
Bueno entonces lo que me llamo la atención fue que Microsoft originalmente había dicho que ellos no crearían un parche para esta vulnerabilidad. Entonces el investigador decidió liberar los detalles (no crean que fue porque Microsoft se negó). Fue cuando Microsoft desarrollo el parche y es uno de los tres críticos que se liberaron este martes. ¿No qué no?. Ahora si que “No le saque al parche”
¿Y ustedes, le sacan al parche? Comenten banda…
