Bugs y Exploits

Microsoft acaba de liberar un parche acumulativo para Internet Explorer que soluciona gran parte de sus vulnerabilidades conocidas hasta el momento, más la vulnerabilidad crítica de la etiqueta IFRAME hecha pública hace unas semanas. Microsoft rompe así con su "tradicional" publicación de boletines los segundos martes de cada mes.

02-12-2004 - Dos investigadores apodados ?ned" y "SkyLined? descubrieron a mediados de noviembre que un manejo inadecuado de ciertas etiquetas FRAME e IFRAME en el código HTML podía permitir la ejecución de cualquier tipo de código en la máquina de la víctima. La vulnerabilidad se confirmó en todos los Internet Explorer 6.0 bajo Windows 2000 y XP, excepto XP con Service Pack 2 instalado y podía ser explotada por la simple visita de un enlace. Tan solo cuatro días después del descubrimiento, aparecía un virus que explotaba el fallo.

El anuncio de la vulnerabilidad y del gusano que se aprovechaba de ella se hacía público muy pocos días antes del segundo martes de noviembre, momento en el que Microsoft publicó su boletín de seguridad. En esa ocasión, no se supo hasta pasada tal fecha que Microsoft no aportaba solución alguna para este grave problema.

Por sorpresa, y sin esperar al día 14 de diciembre, Microsoft ha decidido publicar el día uno del mismo mes una solución para este fallo, que además incluye parches para otras vulnerabilidades anteriores que afectan a Internet Explorer 6 con Service Pack 1 instalado.

Finalmente, los casi 31 días que se suponía iban a tener que esperar los usuarios para la publicación de una solución, han sido reducidos a 17. Es posible que la gravedad de la vulnerabilidad, el momento en el que fue descubierta, el gusano que se aprovechaba del fallo y la pérdida de credibilidad que sufre el navegador frente a alternativas fiables y emergentes como Mozilla Firefox, hayan sido factores decisivos para la publicación de este parche fuera de la programación oficial de la compañía.

No es la primera vez que Microsoft se ve obligada a publicar un parche fuera de su ciclo habitual. En julio de 2004 lanzó una corrección de emergencia ante el grave problema que suponía Scob o Download.Ject, un ataque vírico que infectaba a usuarios de Internet Explorer que visitaran páginas web que utilizasen un servidor HTTP de Microsoft comprometido. La combinación de vulnerabilidades en los dos productos, resultó en la posibilidad de ejecutar código en los usuarios que navegaran por páginas afectadas. Este fenómeno hizo sonar la alarma entre expertos en seguridad.

En aquella ocasión, la corrección no era más que un cambio de configuración en el navegador que no atacaba el problema de raíz, y Microsoft recomendó a los usuarios a que esperaran un parche definitivo en la por entonces inminente aparición del Service Pack 2 para Windows XP.

Más información y referencias:


http://www.microsoft.com/downloads/details.aspx?displaylang=es&FamilyID=c74028e2-10c9-4edd-ad0a-36493677bff8

Microsoft publica un "parche" que no ataca el problema de raíz
http://www.forzis.com/news/noticias.php?cod_noticia=133

Sergio de los Santos
http://www.forzis.com