• Tweet

John Leyden

Una falla en los Componentes Web de Office, que Microsoft corrigió el martes pasado, fue reportada por primera vez al gigante del software hace más de dos años, según fue revelado recientemente.

El tiempo que tardó en liberarse el parche tiene a las compañías de seguridad especulando, que el equipo de seguridad de Redmond arregló el problema solo porque ha sido explotada por hackers en semanas recientes.

La llegada del parche MS09-043 concierne a una vulnerabilidad de día cero que se había convertido en el objetivo de ataques por descargas automáticas no autorizadas desde sitios web maliciosos. El parche corrige cuatro vulnerabilidades en total del control ActiveX de Office, incluyendo el problema ya mencionado. Los usuarios anteriormente debían utilizar alternativas publicadas por Microsoft en un aviso publicado en Julio.

La vulnerabilidad de día cero fue descubierta por el investigador Peter Vreugdenhil, y reportada originalmente a Microsoft en Marzo de 2007 por la iniciativa Día Cero de Tipping Point, que paga a los investigadores que descubren errores de seguridad.

Tipping Point utiliza esta información para agregar a sus productos de seguridad detección basada en firmas, que descubren ataques basados en las vulnerabilidades encontradas. También envía esta información a los desarrolladores de software pertinentes, en este caso Microsoft.

Respondiendo al cuestionamiento de la tardanza, el administrador de ZDI, Pedram Amini, contó a Heise Security que "ellos [Microsoft] requieren cada vez más tiempo para asegurarse de que un problema ha sido completamente solucionado".

Tipping Point no apura a los desarrolladores generalmente. Otras compañías de seguridad, como F-Secure, siguen perplejas ante el tiempo requerido para el desarrollo del parche.

Una lista de notificaciones pendientes de Tipping Point revela que muchas compañías aún no liberan parches para vulnerabilidades con prioridad "alta", a un año de haber sido notificadas del problema. Cinco fallas de este tipo se encuentran sin solucionar con Redmond, pero Microsoft está con buena compañía: CA, HP, IBM, Symantec, Mozilla y Adobe tampoco han liberado soluciones para sus fallas críticas de seguridad.