• Tweet

El parche liberadó por Microsoft esta semana, para Internet Explorer, y que pedía instalar con urgencia a los usuarios estaba dañado, dijó la compañia.

Varias de las actualizaciones para Internet Explorer que se facilitaron inicialmente mediante el Download Center estaban corrompidas, indicaron directivos de Microsoft, y no podían ser instaladas.

"Las actualizaciones fueron corrompidas, rompiendo las firmas digitales", escribió, en el blog oficial un miembro del equipo de desarrollo de IE. "Hemos identificado el problema y eliminado las actualizaciones afectadas del Download Center".

Las firmas vulneradas ocasionaron fallas en el Servidor de Administración de Sistemas (Systems Management Server SMS) -- La herramienta de administración utilizada para distribuir actualizaciones y nuevos programas -- y en Internet Explorer.

"Si consiguieron la actualización dentro de las primeras horas, después de la liberación a las 10:00 am [PDT], del Download Center, entonces no se instalará", confirmó un portavoz de Microsoft. "Microsoft obtuvo las actualizaciones del Download Center, investigó la causa del problema, y republicó las actualizaciones."

Solo las actualizaciones publicadas en el Download Center -- -que es a donde envian las ligas de los reportes de seguridad a los usuarios -- fueron afectadas, indicó Microsoft. "Automatic Update, Windows Update, Microsoft Update, y Windows Server Update Services (WSUS) no fueron afectados", indicó la compañia en una explicación agregada al boletín MS05-038.

La falla es un bochorno para Microsoft. "Nunca habia visto una actualización corrompida como está", indicó Mike Murray, director de investigación de nCircle. "Hemos tenido actualizaciones que estaban corrompidas de alguna manera o no trabajaron como deben, pero no esto."

Los comentarios de algunos usuarios en el Blog de Microsoft provocarón que este se diera cuenta de su error. Dominic White, un estudiante de ciencias de la computación de la Universidad de Rhodes quien ha publicado articulos sobre tecnologias de actualización automática en general, y de Microsoft en particular, era uno.

"Lo que me molesta es la forma en que lo describieron", escribió White. "'Esto sólo impacta a los usuarios que descargarón via el Download Center' [según Microsoft], pero es exactamente igual si alguna persona hubiese comprometido los parches. Nadie se ha puesto a pensar en la posibilidad de que los parches fueron hackeados y Microsoft no quiere decir que fueron hackeados, solo un error."

"Francamente, los parches son un pequeño Santo Grial para la distribución de malware", continuó White. "Imaginen recibir una pieza de malware distribuido via Microsoft Update. Podrián infectar miles de máquinas y obtener privilegios de administrador. Las firmas digitales nos proveen de una forma para saber que los parches que descargamos son de quien dice ser; no tiene sentido que hayan ignorado el mecanismo"