• Tweet

Microsoft apresura una corrección para una falla en el servidor web de Windows que ha sido explotada por atacantes en línea.

El parche corrige un hueco de seguridad en la tecnología ASP.net de Windows usada en los servidores de Microsoft. La empresa dice que se ha observado una explotación limitada de la vulnerabilidad en ataques en línea. Sin embargo el problema es lo suficientemente serio que la compañía ha decidido adelantar el parche a la fecha regular de actualizaciones, agendada para el 12 de Octubre de esta año.

ASP.net es una tecnología usada para desarrollar aplicaciones Web, y la vulnerabilidad le da a los atacantes la forma de ganar acceso a archivos protegidos o de leer información cifrada enviada por un servidor de aplicaciones ASP.net. A principios de este mes, los investigadores demostraron cómo un ataque puede ser usado para robar cookies de sesión cifradas o incluso nombres y contraseñas de sitios web.

Microsoft ocasionalmente realiza este tipo de actualizaciones anticipadas cuando detectan un problema serio de seguridad, pero en este caso es diferente. Por primera vez, Microsoft lanzará inicialmente el parche sólo en el centro de descargas de la compañía, el cual generalmente es usado por usuarios de grandes organizaciones quienes quieren probar los parches antes de instalarlos manualmente en toda la organización.

"Esto nos permite tener disponible la actualización tan pronto como sea posible, otorgando de inmediato a los administradores la posibilidad de probar y actualizar sus sistemas, instalaciones empresariales o usuarios finales que quieran instalar esta actualización manualmente". Microsoft publicó el lunes en su blog el anuncio de la actualización diciendo "Sugerimos ampliamente a los clientes visitar el centro de descargas, descargar la actualización, probarla en el ambiente de desarrollo tan pronto como les sea posible".

Para la mayoría de los clientes, quienes actualizan de manera automatizada, el parche estará disponible en pocos días. Los clientes no son vulnerables al error, a menos que tengan funcionando un servidor Web en sus computadoras.

Microsoft lanzará la actualización en el centro de descargas el martes a las 10 a.m. hora del pacífico y no ha dado fecha para la actualización automatizada.

"Es la primera vez que lanzamos una actualización de esta manera, pero debido a la naturaleza de los ataques presentes y la severidad del potencial de pérdida de datos, hemos lanzado la actualización al centro de descargas, de esta manera los clientes (específicamente aquellos de grandes empresas, proveedores de host y ISVs) pueden comenzar con la actualización", mencionó Microsoft en un comunicado por correo electrónico. "Dentro de pocos días distribuiremos la actualización a través del resto de nuestros canales de distribución."

IAC/