Categories: SeguridadVirus

Los parches de Microsoft saben a poco

Los parches publicados el pasado martes solventan, como fue anunciado a última hora, diez vulnerabilidades agrupadas en cuatro boletines. Los que salen peor parados son los componentes de Office, Outlook y Excel, con nueve vulnerabilidades, casi todas críticas. Ninguno de los fallos corregidos se conocía de forma pública antes de la aparición de estos boletines (aunque algunos sí que estaban siendo aprovechados).

Sin embargo, tres vulnerabilidades en Word para las que existe exploit público que permite ejecución de código (y está siendo aprovechado), no han sido contempladas en esta ocasión. Tampoco dos problemas en el servicio CSRSS (Client Server Runtime SubSystem) que permiten elevar privilegios en local o revelar información sensible han encontrado solución. Todas se han dado a conocer durante el mes de diciembre. Existen otras vulnerabilidades “pendientes” que permiten provocar denegaciones de servicio (que la aplicación deje de responder) igualmente en espera.

No existe aclaración oficial sobre la causa de este lote de actualizaciones mensual descafeinado, donde se han echado en falta soluciones a problemas acuciantes en la suite ofimática de Microsoft o su sistema operativo. Se puede presuponer que los parches estaban prácticamente listos en un primer momento, hasta el punto de ser anunciados, pero a última hora no los consideraron suficientemente maduros. Es más que probable que desde Microsoft se haya decidido comprobar una vez más la calidad de esos parches anunciados en primera instancia para ahorrarse disgustos y no comprometer la estabilidad de sus clientes.

Es comprensible esta actitud reservada y conservadora a la hora de publicar parches. Situaciones como la vivida en agosto de 2006 con el boletín MS06-042 hacen necesario una reflexión sobre la liberación de parches. En él se recomendaba la aplicación de un parche acumulativo para Internet Explorer que solucionaba ocho problemas de seguridad. Dos semanas después se hizo público que, inadvertidamente, este parche había introducido una nueva vulnerabilidad crítica.

Si se cumple el ciclo (muy probablemente) y no se publican nuevos parches extraordinarios hasta febrero, dejarían sin solucionar varios problemas graves durante más de dos meses. Aunque una política de comprobación de calidad y análisis de impacto es tan importante como cualquier otro proceso de la administración de actualizaciones, los retrasos pueden resultar tan peligrosos (para sus clientes y para su imagen) como arriesgarse a publicar un parche que cause algún estropicio. Es un equilibrio que no debe romperse.

En cualquier caso, es decisión de los usuarios utilizar alternativas cuando sea posible (como OpenOffice.org) o aplicar las contramedidas que recomendadas en los correspondientes boletines y ayudan a mitigar los efectos de un posible ataque.

Redacción

Recent Posts

Google paga 5.000 millones de dólares para resolver una demanda colectiva

Los usuarios denunciaban que la compañía los había rastreado incluso cuando usaban el modo privado…

11 meses ago

Las pymes valencianas pueden optar a ayudas de 5,5 millones de euros por proyectos de I+D

El Instituto Valenciano de Competitividad Empresarial financiará aquellas iniciativas que puedan solucionar incertidumbres científicas o…

11 meses ago

La guerra entre Israel y Gaza no acobarda a los inversores extranjeros de startups

Solo en el cuarto trimestre las empresas emergentes del país han levantado 1.500 millones de…

11 meses ago

Navarra ya cuenta con más de 80 startups

La región tiene 13 scaleups y destaca por sus empresas emergentes de salud y agrotech.

11 meses ago

Las startups valencianas progresaron adecuadamente en 2023

Valencia ha atraído en el primer semestre del año 30 millones de euros de inversión…

11 meses ago

El New York Times acusa a Open AI y Microsoft de infringir sus derechos de autor

El diario estadounidense demanda a las dos compañías tecnológicas por haber usado sus contenidos para…

11 meses ago