• Tweet

Microsoft no pudo haber impulsado más rápido a los investigadores cuando la empresa reparó un error de día cero en Internet Explorer (IE) a tan sólo 18 días despúes de que el ataque hacia el código fuera hecho público.

De acuerdo a VeriSign iDefense, Microsoft tenía información acerca del error en el navegador seis meses antes de que el investigador conocido como “K4mr4n” publicara un código de ataque en la lista de correo de seguridad Bugtraq el pasado 20 de Noviembre.

iDefense"s Zero Day Initiative (ZDI), uno de los dos más conocidos programas que detecta errores, informó de la vulnerabilidad a Microsoft el 9 de Junio del presente año. IDefense señalo en un artículo publicado el miércoles.

IE6 e IE7, dos versiones de navegadores de Microsoft que en conjunto representan apróximadamente el 39 por ciento de todos los navegadores utilizados el mes pasado, fueron las únicas versiones afectadas por la vulnerabilidad. El IE 5.01 y el nuevo IE8 fueron inmunes a la amenaza.

Tres días despúes K4mr4n divulgó la vulnerabilidad, Microsoft confirmó que estaban trabajando en el ataque sobre el código, y emitió una alerta de seguridad que proporciona cierta información acerca de este error. En ningún momento sin embargo, reconoció que sabía acerca de la vulnerabilidad, solo mencionó que estaba investigando el asunto.

La semana pasada, los expertos convinieron que era poco probable que Microsoft podría estar listo el 8 de Diciembre para la revisión mensual de Patch Tuesday. En concreto, cuando Microsoft hizo el parche , Andrew Storms, director de operaciones de seguridad de nCircle Network Security, aplaudió la respuesta de Microsoft. “Eso fue un tiempo récord de Microsoft, para repararlo en tan sólo dos semanas”, mencionó.

Storms y otros basaron sus apuestas en los registros pasados de Microsoft. Historicamente a Microsoft le ha tomado un mes o más para ofrecer parches de vulnerabilidades de IE. En contadas ocasiones cuando Microsoft ha publicado actualizaciones - una fuera de su programa mensual normal – debido a que los ataques fueron ganando terreno. Aunque la vulnerabilidad de K4mr4n estuvo en circulación, las firmas de seguridad como Symantec han confirmado la afirmación de Microsoft de que los ataques reales aún no habían aparecido.

Sin embargo, había señales de que Microsoft tenía conocimiento de las fallas hace más de dos semanas. iDefense realizó el informe del error en el boletín de seguridad MSD09-072 que incluye los parches para IE6 e IE7, afirmó Storms.

Microsoft e iDefense recomendaron desabilitar JavaScript en IE si los usuarios no pueden aplicar inmediatamente el parche. La actualización MS09-072, que corrigió cinco errores en IE, incluyendo el error de día cero, fue una de las cinco actualizaciones de seguridad publicadas el martes que corregían una docena de vulnerabilidades en conjunto.