• Tweet

Microsoft atacó a la firma de seguridad británica Computer Terrorism por publicar información acerca de una vulnerabilidad en Internet Explorer antes que el fabricante liberará una actualización.

Computer Terrorism liberó un aviso de seguridad el Lunes y publicó una prueba de concepto (PoC) demostrando como podía utilizarse la vulnerabilidad en Internet Explorer para ejecutar código. El método podría utilizarse por un atacante para tomar control sobre un sistema.

Se consideraba que el error tendría un impacto mínimo, pero la prueba de concepto causó que la firma Secunia aumentará su valor de severidad a 'Altamente Crítica'.

Es una práctica común en la industria de seguridad darles, a los vendedores de programas, tiempo para desarrollar un parche antes de publicar información sobre cualquier vulnerabilidad. Esta información puede ayudar a los autores de malware para crear exploits dirigidos especificamente a la falla y poner en riesgo la seguridad de los usuarios finales.

Microsoft alega que Computer Terrorism rompió con esa práctica. "Microsoft reprueba que ciertos investigadores de seguridad violen las prácticas de la industria y publiquen un código que haga daño a los usuarios," indicó a vnunet.com un portavoz de la compañia.

"Microsoft continua pidiendo a los investigadores de seguridad publicar información sobre las vulnerabildades responsablemente y dar tiempo a desplegar las actualizaciones para evitar que los criminales puedan aprovecharse de dichas fallas."

No obstante, Simon Robinson, análista de seguridad, argumentó que Computer Terrorism no tenía opción. La falla en Internet Explorer habia sido publicada en Mayo pero en ese momento fue considerada de bajo impacto.

"Nunca debió clasificarse como una vulnerabilidad de nivel bajo", dijó Robinson a vnunet.com. "Debió ser de riesgo moderado. Cuando nos percatamos de que era explotable, nos sorprendimos de lo sencillo que era."

Al hacer publicó el exploit la firma quiere advertir a los usuarios que se encuentran ante un problema grave. "Creemos que ya se esta explotando."

Acentuó que la firma esta en platicas con Microsoft con respecto al reporte de la seguridad y en otros casos se siguen las prácticas de la industria.

Este caso en el que se elevó el rango de un error conocido a 'altamente crítico' no tiene precedentes y justifica una desviación de las prácticas comunes", indicó.

El hueco reportado afecta a sistemas Windows actualizados que corran Internet Explorer. Se aviso a los usuarios deshabilitar JavaScript cuando visiten sitios no confiables, o que cambien a otro navegador como Opera o Firefox.