• Tweet

Con los intrusos explotando activamente una falla no actualizada en Internet Explorer (IE) y algunos usuarios inconformes debido a que la solución al problema podría ser liberada hasta dentro de dos semanas, Microsoft Corp. dijo que está buscando las formas más rápidas para proporcionar actualizaciones de seguridad.

Los intrusos han empezado a circular código que explota ésta vulnerabilidad en IE desde la semana pasada, y a la fecha éste ha sido utilizado en varios cientos de sitios Web maliciosos, de acuerdo al distribuidor de seguridad Websense Inc.

Con Microsoft sobre la pista para solucionar el problema el 11 de abril, algunos en la comunidad de seguridad dicen que el gigante de software es demasiado lento para responder a amenazas serias.

La práctica de Microsoft de liberar las soluciones de seguridad hasta el segundo martes de cada mes, llamado "Match Tuesday" por los administradores, a veces puede hacer daño a usuarios caseros porque no pueden tener la ventaja de "múltiples capas" de protección que son típicas en ambientes corporativos, de acuerdo Todd Towles, un consultor de seguridad de Austin, Texas.

Microsoft está buscando formas para proporcionar una actualización más rápida, aunque actualmente no tenga ningún plan de liberar las versiones beta de sus actualizaciones de seguridad, de acuerdo con Stephen Toulouse, un administrador de programas de seguridad del centro de respuesta de seguridad de Microsoft. "Existen algunos desafíos enormes para esto", aseguró Toulouse.

Lo primero y lo más importante es la cuestión de control de calidad. Microsoft debe asegurar que su actualización trabaja sobre una amplia gama de plataformas, muchas de las cuales han sido cambiadas para su uso en diferentes partes del mundo. "No podemos olvidar a nadie", dijo Toulouse.

La idea de liberar el software no soportado no es exactamente nueva para Microsoft. La empresa ha estado liberando versiones beta de sus productos primeramente a testers durante años, y en meses recientes esto ha cambiado para ser más transparente y más ágil en el modo en que libera el código que estará en productos próximos.

Aún, un proceso beta que trabaja para software comercial podría no ser completamente satisfecho para actualizaciones de seguridad.

Si Microsoft liberara una actualización rápida de una vulnerabilidad de seguridad desconocida, por ejemplo, esto podría estar informando a los intrusos para que generen un nuevo tipo de ataque.

Independientemente si Microsoft podría estar considerando realizar cambios, su respuesta lenta a fallas críticas crea un vacío el que los otros han estado llenando durante los pocos meses pasados.

El lunes, los distribuidores de seguridad eEye Digital Security Inc. y Determina Inc. liberaron actualizaciones que solucionan los últimos problemas en IE. Y hace dos meses el desarrollador de software Ilfak Guilfanov liberó una actualización ampliamente adoptada que solucionó una falla crítica similar en IE.

Los usuarios que deseen mantenerse seguros y evitar los riesgos de esta última vulnerabilidad pueden deshabilitar la característica Active Scripting del navegador o instalar uno de los parches no soportados. Microsoft no recomienda la última opción, ya que asegura que no puede recomendar actualizaciones de terceros que "modifican la forma en que el producto por sí mismo opera" debido a que podrían ser compatibles con otras aplicaciones.

Towles cree que Microsoft debería seguir adelante y liberar de forma rápida sus actualizaciones de seguridad. "Microsoft se queda de lado y permite que los distribuidores creen actualizaciones de prueba, permitiéndoles desarrollar software que podría no funcionar".

La actualización de eEye puede ser encontrado en: http://www.eeye.com/html/research/alerts/AL20060324.html

La actualización de Determina se encuentra en: http://www.determina.com/security_center/security_advisories/securityadvisory_march272006_1.asp

Los comentarios de Microsoft sobre estas actualizaciones se encuentran en: http://blogs.technet.com/msrc/archive/2006/03/28/423409.aspx