[FT] Respuestas a la política de actua lizaciones de Microsoft

1) Las vulnerabilidades existen y se explotan antes de ser publicadas

2) Microsoft no descubre las vulnerabilidades

3) Las empresas planifican sus propias políticas de actualizaciones

4) Dificultad para usuarios sin banda ancha en la descarga de grandes
actualizaciones

5) Comparativa Microsoft vs. Linux cualitativa (no cuantitativa)

24/12/2003 - Respuestas a la política de actualizaciones de Microsoft

El pasado día 15 publicamos en "una-al-día" las explicaciones de
Microsoft sobre su nueva política de actualizaciones. Hoy damos la
palabra a nuestros lectores, que en gran número nos hicieron llegar
sus comentarios y razonamientos al respecto.

Debido al gran volumen de mensajes, y lo extenso de algunos, vamos
a intentar resumir en cinco puntos los argumentos que más se
repitieron por parte de los lectores.

1) Las vulnerabilidades existen y se explotan antes de ser publicadas

En las explicaciones de Microsoft podíamos leer "Las vulnerabilidades
representan un aumento exponencial del riesgo a partir de su
descubrimiento y anuncio, no antes. [...] no perdemos en materia de
seguridad desde el momento que asumimos que el riesgo es casi
inexistente antes de cualquier tipo de anuncio".

Respecto a esta afirmación, son muchos los lectores que recuerdan
que no todas las vulnerabilidades se publican cuando son
descubiertas, no todo los hackers son "whitehats". De hecho existen
grupos de investigación dedicados a descubrir vulnerabilidades y
a explotarlas en beneficio propio.

Que una vulnerabilidad no se publique, no quiere decir que no
existan ataques basadas en ellas que estén pasando desapercibidos.
El sistema debe ser seguro por diseño, no porque no se publiquen
o se oculten sus fallos. No a la seguridad por oscuridad.


2) Microsoft no descubre las vulnerabilidades

Según Microsoft "en ese 0.1% de casos donde el orden de sucesos no
ocurra de esta forma, como por ejemplo el conocimiento de una
vulnerabilidad de forma previa a la creación del update".

Para muchos lectores ese porcentaje tal vez sería válido a la inversa,
es decir, la inmensa mayoría de los descubrimientos de agujeros en
el software de Microsoft son autoría de terceras personas ajenas a
la compañía. Por lo tanto las vulnerabilidades suelen conocerse antes
de la creación y distribución de la actualización.

Microsoft no puede, ni debe, controlar el descubrimiento y
publicación de vulnerabilidades.


3) Las empresas planifican sus propias políticas de actualizaciones

"La medida está pensada fundamentalmente para minimizar situaciones
de actualización de software no planificadas, y permitir que una
corporación pueda planificar sus recursos adecuada y ordenadamente
ante una actualización de seguridad."

Muchos administradores de sistemas y responsables de seguridad
indican que cuentan con sus propias políticas corporativas de
actualizaciones, y que la planificación de éstas no deben estar
condicionadas (ni se van a ver mejoradas) porque las actualizaciones
se encuentren disponibles un día determinado.

En la mayoría de los casos, en ambientes críticos, los parches y
actualizaciones deben pasar unos tests y controles de calidad en
sistemas de pruebas, antes de distribuirlos en los sistemas en
producción. No en vano, la instalación directa e inmediata de los
parches puede ocasionar problemas de incompatibilidad,
mal funcionamiento, o regresión de vulnerabilidades.

Este tipo de comprobaciones, que hasta ahora se hacía de forma
escalonada y puntual según publicación de parches concretos, ahora
resulta más complicada al acumularse todo en una fecha, y puede
dar lugar a retrasos en el despliegue final. No es lo mismo, ni
se tarda el mismo tiempo, en comprobar que una actualización para
Internet Explorer es correcta, que en comprobar 6 o 7 parches para
diferentes componentes del sistema.

En definitiva, en muchos casos la acumulación de parches supone un
retraso en la distribución final de los mismos en ambientes
corporativos. Los administradores piden que la actualización se
encuentre disponible tan pronto sea posible, ya serán ellos los que
decidan como les afecta, la prioridad, y el día en que se procederá
a su instalación.


4) Dificultad para usuarios sin banda ancha en la descarga de grandes
actualizaciones

Algunos usuarios, que conectan a Internet a través de módems
analógicos conectados a la red telefónica básica, muestran su
preocupación por la acumulación y distribución de los parches
en un mismo día.

Si algunas actualizaciones individuales pueden ocupar megas, la
actualización del paquete mensual puede llegar a ser todo un
inconveniente para ellos.

Como anécdota, recordar que fueron muchos los usuarios domésticos que
tuvieron problemas con la actualización de la vulnerabilidad que
explotaba el gusano Blaster, ya que en el tiempo que tardaban en
descargarse la actualización desde Internet el gusano volvía a
infectarles y/o a reiniciar sus equipos.


5) Comparativa Microsoft vs. Linux cualitativa (no cuantitativa)

Con respecto a los números barajados por Microsoft, a la hora de
comparar vulnerabilidades entre sus sistemas y algunas distribuciones
de Linux, los lectores hacen hincapié en que es necesario distinguir
entre vulnerabilidades de aplicaciones y del propio sistema operativo.

Las distribuciones cuentan con un gran número de aplicaciones, de
instalación opcional, que no forman parte del sistema operativo.
Además, no basta con dar números absolutos, debería analizarse
cuantas de esas vulnerabilidades son explotables remotamente, y el
impacto real en la seguridad de los usuarios.

La propia política de Microsoft, de integración de aplicaciones y
funcionalidades extras en el propio sistema operativo, supone un
aumento en el número de vulnerabilidades que afectan a todos sus
sistemas. Un ejemplo claro lo tenemos en Internet Explorer.

Con respecto a la resolución, muchos lectores recuerdan que en
algunos casos la comunidad Open Source, tras el descubrimiento de
una vulnerabilidad, facilita parches en cuestión de horas. En
última instancia, el usuario tiene el control sobre el sistema,
y no depende exclusivamente de la resolución de una empresa.


La clave

A título personal, aunque comparto de forma genérica las opiniones
de los lectores, creo que la clave en la explicación de Microsoft
está en la afirmación "en ese 0.1% de casos donde el orden de
sucesos no ocurra de esta forma, como por ejemplo el conocimiento
de una vulnerabilidad de forma previa a la creación del update, NO
SE SEGUIRÁ ESTA NORMA DE PUBLICACIÓN MENSUAL y se publicará en
cuanto la actualización esté preparada."

El caso es que desde hace semanas tenemos varios de esos casos, en
concreto hay varias vulnerabilidades de Internet Explorer que se
han hecho públicas (algunas desde finales de noviembre), han sido
catalogadas como críticas (tanto por su impacto como por la
facilidad de explotación), y están siendo aprovechadas en ataques.

A día de hoy, finales de diciembre, aun no hay parches para corregir
esas vulnerabilidades. De entrada queda patente los tiempos de
respuesta de Microsoft ante vulnerabilidades críticas. Si bien aun
queda pendiente conocer cuando se publicarán finalmente estos
parches.

Si los parches de Internet Explorer se publican en su paquete de
actualizaciones mensuales, el segundo martes de enero, en vez de
hacerlo de forma puntual en cuanto tengan la solución (dada la
importancia), Microsoft habrá tirado por tierra gran parte de sus
propias argumentaciones.


Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/1886/comentar

Más Información:

Explicaciones de Microsoft sobre su nueva política de actualizaciones
http://www.hispasec.com/unaaldia/1877

Parches y actualizaciones, un problema común
http://www.hispasec.com/unaaldia/1884


Bernardo Quintero
>
Informacion extraida de: http://www.hispasec.com/unaaldia/1886


Ille Corvus. Hic et Nunc.

1) Las vulnerabilidades existen y se explotan antes de ser publicadas

2) Microsoft no descubre las vulnerabilidades

3) Las empresas planifican sus propias políticas de actualizaciones

4) Dificultad para usuarios sin banda ancha en la descarga de grandes
actualizaciones

5) Comparativa Microsoft vs. Linux cualitativa (no cuantitativa)

24/12/2003 - Respuestas a la política de actualizaciones de Microsoft

El pasado día 15 publicamos en "una-al-día" las explicaciones de
Microsoft sobre su nueva política de actualizaciones. Hoy damos la
palabra a nuestros lectores, que en gran número nos hicieron llegar
sus comentarios y razonamientos al respecto.

Debido al gran volumen de mensajes, y lo extenso de algunos, vamos
a intentar resumir en cinco puntos los argumentos que más se
repitieron por parte de los lectores.

1) Las vulnerabilidades existen y se explotan antes de ser publicadas

En las explicaciones de Microsoft podíamos leer "Las vulnerabilidades
representan un aumento exponencial del riesgo a partir de su
descubrimiento y anuncio, no antes. [...] no perdemos en materia de
seguridad desde el momento que asumimos que el riesgo es casi
inexistente antes de cualquier tipo de anuncio".

Respecto a esta afirmación, son muchos los lectores que recuerdan
que no todas las vulnerabilidades se publican cuando son
descubiertas, no todo los hackers son "whitehats". De hecho existen
grupos de investigación dedicados a descubrir vulnerabilidades y
a explotarlas en beneficio propio.

Que una vulnerabilidad no se publique, no quiere decir que no
existan ataques basadas en ellas que estén pasando desapercibidos.
El sistema debe ser seguro por diseño, no porque no se publiquen
o se oculten sus fallos. No a la seguridad por oscuridad.


2) Microsoft no descubre las vulnerabilidades

Según Microsoft "en ese 0.1% de casos donde el orden de sucesos no
ocurra de esta forma, como por ejemplo el conocimiento de una
vulnerabilidad de forma previa a la creación del update".

Para muchos lectores ese porcentaje tal vez sería válido a la inversa,
es decir, la inmensa mayoría de los descubrimientos de agujeros en
el software de Microsoft son autoría de terceras personas ajenas a
la compañía. Por lo tanto las vulnerabilidades suelen conocerse antes
de la creación y distribución de la actualización.

Microsoft no puede, ni debe, controlar el descubrimiento y
publicación de vulnerabilidades.


3) Las empresas planifican sus propias políticas de actualizaciones

"La medida está pensada fundamentalmente para minimizar situaciones
de actualización de software no planificadas, y permitir que una
corporación pueda planificar sus recursos adecuada y ordenadamente
ante una actualización de seguridad."

Muchos administradores de sistemas y responsables de seguridad
indican que cuentan con sus propias políticas corporativas de
actualizaciones, y que la planificación de éstas no deben estar
condicionadas (ni se van a ver mejoradas) porque las actualizaciones
se encuentren disponibles un día determinado.

En la mayoría de los casos, en ambientes críticos, los parches y
actualizaciones deben pasar unos tests y controles de calidad en
sistemas de pruebas, antes de distribuirlos en los sistemas en
producción. No en vano, la instalación directa e inmediata de los
parches puede ocasionar problemas de incompatibilidad,
mal funcionamiento, o regresión de vulnerabilidades.

Este tipo de comprobaciones, que hasta ahora se hacía de forma
escalonada y puntual según publicación de parches concretos, ahora
resulta más complicada al acumularse todo en una fecha, y puede
dar lugar a retrasos en el despliegue final. No es lo mismo, ni
se tarda el mismo tiempo, en comprobar que una actualización para
Internet Explorer es correcta, que en comprobar 6 o 7 parches para
diferentes componentes del sistema.

En definitiva, en muchos casos la acumulación de parches supone un
retraso en la distribución final de los mismos en ambientes
corporativos. Los administradores piden que la actualización se
encuentre disponible tan pronto sea posible, ya serán ellos los que
decidan como les afecta, la prioridad, y el día en que se procederá
a su instalación.


4) Dificultad para usuarios sin banda ancha en la descarga de grandes
actualizaciones

Algunos usuarios, que conectan a Internet a través de módems
analógicos conectados a la red telefónica básica, muestran su
preocupación por la acumulación y distribución de los parches
en un mismo día.

Si algunas actualizaciones individuales pueden ocupar megas, la
actualización del paquete mensual puede llegar a ser todo un
inconveniente para ellos.

Como anécdota, recordar que fueron muchos los usuarios domésticos que
tuvieron problemas con la actualización de la vulnerabilidad que
explotaba el gusano Blaster, ya que en el tiempo que tardaban en
descargarse la actualización desde Internet el gusano volvía a
infectarles y/o a reiniciar sus equipos.


5) Comparativa Microsoft vs. Linux cualitativa (no cuantitativa)

Con respecto a los números barajados por Microsoft, a la hora de
comparar vulnerabilidades entre sus sistemas y algunas distribuciones
de Linux, los lectores hacen hincapié en que es necesario distinguir
entre vulnerabilidades de aplicaciones y del propio sistema operativo.

Las distribuciones cuentan con un gran número de aplicaciones, de
instalación opcional, que no forman parte del sistema operativo.
Además, no basta con dar números absolutos, debería analizarse
cuantas de esas vulnerabilidades son explotables remotamente, y el
impacto real en la seguridad de los usuarios.

La propia política de Microsoft, de integración de aplicaciones y
funcionalidades extras en el propio sistema operativo, supone un
aumento en el número de vulnerabilidades que afectan a todos sus
sistemas. Un ejemplo claro lo tenemos en Internet Explorer.

Con respecto a la resolución, muchos lectores recuerdan que en
algunos casos la comunidad Open Source, tras el descubrimiento de
una vulnerabilidad, facilita parches en cuestión de horas. En
última instancia, el usuario tiene el control sobre el sistema,
y no depende exclusivamente de la resolución de una empresa.


La clave

A título personal, aunque comparto de forma genérica las opiniones
de los lectores, creo que la clave en la explicación de Microsoft
está en la afirmación "en ese 0.1% de casos donde el orden de
sucesos no ocurra de esta forma, como por ejemplo el conocimiento
de una vulnerabilidad de forma previa a la creación del update, NO
SE SEGUIRÁ ESTA NORMA DE PUBLICACIÓN MENSUAL y se publicará en
cuanto la actualización esté preparada."

El caso es que desde hace semanas tenemos varios de esos casos, en
concreto hay varias vulnerabilidades de Internet Explorer que se
han hecho públicas (algunas desde finales de noviembre), han sido
catalogadas como críticas (tanto por su impacto como por la
facilidad de explotación), y están siendo aprovechadas en ataques.

A día de hoy, finales de diciembre, aun no hay parches para corregir
esas vulnerabilidades. De entrada queda patente los tiempos de
respuesta de Microsoft ante vulnerabilidades críticas. Si bien aun
queda pendiente conocer cuando se publicarán finalmente estos
parches.

Si los parches de Internet Explorer se publican en su paquete de
actualizaciones mensuales, el segundo martes de enero, en vez de
hacerlo de forma puntual en cuanto tengan la solución (dada la
importancia), Microsoft habrá tirado por tierra gran parte de sus
propias argumentaciones.


Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/1886/comentar

Más Información:

Explicaciones de Microsoft sobre su nueva política de actualizaciones
http://www.hispasec.com/unaaldia/1877

Parches y actualizaciones, un problema común
http://www.hispasec.com/unaaldia/1884


Bernardo Quintero
>
Informacion extraida de: http://www.hispasec.com/unaaldia/1886


Ille Corvus. Hic et Nunc.

1) Las vulnerabilidades existen y se explotan antes de

Correcto y afirmativo, incluso algunos hackers que se las

ven si hay algo explotable antes de avisar de tal o cual

2) Microsoft no descubre las vulnerabilidades

Pues esto no lo se a ciencia cierta pero parece cierto,

que termina microsoft no clama responsabilidad por

detectados y si hay muchos otros que claman su

3) Las empresas planifican sus propias políticas de

Muy correcto y aceptable, recuerda que despues del SP1

sobre algunos detalles que dejo mal el "Parche", esto en

es aceptable, pero tambien es cierto que los escenarios

permanentes y a la salida de cualquier detalle, el

debe estar listo para probarlo sin demora y aceptar o

implementacion.

4) Dificultad para usuarios sin banda ancha en la

actualizaciones

De super acuerdo con esto, y no me eches sal en la herida

abierta...
Gente pobre en comunidades rurales con modems y

les llamo todo tipo de insultos por no instalar un SP1 de

MB de actualizaciones via intenet???
y otros tantos insultos por preguntar como desactivar un

actualizaciones que verdaderamente no sirve PARA NADA

y conexion de 33600.
Mejor lo dejamos de lado

5) Comparativa Microsoft vs. Linux cualitativa (no

Esto lo pregunte yo mismo hace rato, por que como que ya

los dos bandos tirandose bolita por bolita cada bug que

sistema operativo esto no es justo ni de un lado ni de

cual ha sido el mas dañino y/o peligroso de un lado y

Por lo que se este año MS se lleva la palma con todo y

bug en un sistema operativo que estaba latente desde

parece mentira pero le pego hasta al recien nacido

dias de haber visto la luz con fanfarria y pompa que

"Asombroso" nivel de integridad y seguridad, no os

hasta Fred Astaire se cayo alguna vez en el escenario...

Saludos
Mr Big Dragon



"Ille Corvus"

news:

24/12/2003 - Respuestas a la política de

El pasado día 15 publicamos en "una-al-día" las

Microsoft sobre su nueva política de actualizaciones.

palabra a nuestros lectores, que en gran número nos

sus comentarios y razonamientos al respecto.

Debido al gran volumen de mensajes, y lo extenso de

a intentar resumir en cinco puntos los argumentos que

repitieron por parte de los lectores.

1) Las vulnerabilidades existen y se explotan antes de

En las explicaciones de Microsoft podíamos leer "Las

representan un aumento exponencial del riesgo a partir

descubrimiento y anuncio, no antes. [...] no perdemos

seguridad desde el momento que asumimos que el riesgo

inexistente antes de cualquier tipo de anuncio".

Respecto a esta afirmación, son muchos los lectores que

que no todas las vulnerabilidades se publican cuando son
descubiertas, no todo los hackers son "whitehats". De

grupos de investigación dedicados a descubrir

a explotarlas en beneficio propio.

Que una vulnerabilidad no se publique, no quiere decir

existan ataques basadas en ellas que estén pasando

El sistema debe ser seguro por diseño, no porque no se

o se oculten sus fallos. No a la seguridad por

2) Microsoft no descubre las vulnerabilidades

Según Microsoft "en ese 0.1% de casos donde el orden de

ocurra de esta forma, como por ejemplo el conocimiento

vulnerabilidad de forma previa a la creación del

Para muchos lectores ese porcentaje tal vez sería

es decir, la inmensa mayoría de los descubrimientos de

el software de Microsoft son autoría de terceras

la compañía. Por lo tanto las vulnerabilidades suelen

de la creación y distribución de la actualización.

Microsoft no puede, ni debe, controlar el

publicación de vulnerabilidades.


3) Las empresas planifican sus propias políticas de

"La medida está pensada fundamentalmente para minimizar

de actualización de software no planificadas, y

corporación pueda planificar sus recursos adecuada y

ante una actualización de seguridad."

Muchos administradores de sistemas y responsables de

indican que cuentan con sus propias políticas

actualizaciones, y que la planificación de éstas no

condicionadas (ni se van a ver mejoradas) porque las

se encuentren disponibles un día determinado.

En la mayoría de los casos, en ambientes críticos, los

actualizaciones deben pasar unos tests y controles de

sistemas de pruebas, antes de distribuirlos en los

producción. No en vano, la instalación directa e

parches puede ocasionar problemas de incompatibilidad,
mal funcionamiento, o regresión de vulnerabilidades.

Este tipo de comprobaciones, que hasta ahora se hacía

escalonada y puntual según publicación de parches

resulta más complicada al acumularse todo en una fecha,

dar lugar a retrasos en el despliegue final. No es lo

se tarda el mismo tiempo, en comprobar que una

Internet Explorer es correcta, que en comprobar 6 o 7

diferentes componentes del sistema.

En definitiva, en muchos casos la acumulación de

retraso en la distribución final de los mismos en

corporativos. Los administradores piden que la

encuentre disponible tan pronto sea posible, ya serán

decidan como les afecta, la prioridad, y el día en que

a su instalación.


4) Dificultad para usuarios sin banda ancha en la

actualizaciones

Algunos usuarios, que conectan a Internet a través de

analógicos conectados a la red telefónica básica,

preocupación por la acumulación y distribución de los

en un mismo día.

Si algunas actualizaciones individuales pueden ocupar

actualización del paquete mensual puede llegar a ser

inconveniente para ellos.

Como anécdota, recordar que fueron muchos los usuarios

tuvieron problemas con la actualización de la

explotaba el gusano Blaster, ya que en el tiempo que

descargarse la actualización desde Internet el gusano

infectarles y/o a reiniciar sus equipos.


5) Comparativa Microsoft vs. Linux cualitativa (no

Con respecto a los números barajados por Microsoft, a

comparar vulnerabilidades entre sus sistemas y algunas

de Linux, los lectores hacen hincapié en que es

entre vulnerabilidades de aplicaciones y del propio

Las distribuciones cuentan con un gran número de

instalación opcional, que no forman parte del sistema

Además, no basta con dar números absolutos, debería

cuantas de esas vulnerabilidades son explotables

impacto real en la seguridad de los usuarios.

La propia política de Microsoft, de integración de

funcionalidades extras en el propio sistema operativo,

aumento en el número de vulnerabilidades que afectan a

sistemas. Un ejemplo claro lo tenemos en Internet

Con respecto a la resolución, muchos lectores recuerdan

algunos casos la comunidad Open Source, tras el

una vulnerabilidad, facilita parches en cuestión de

última instancia, el usuario tiene el control sobre el

y no depende exclusivamente de la resolución de una

La clave

A título personal, aunque comparto de forma genérica

de los lectores, creo que la clave en la explicación de

está en la afirmación "en ese 0.1% de casos donde el

sucesos no ocurra de esta forma, como por ejemplo el

de una vulnerabilidad de forma previa a la creación del

SE SEGUIRÁ ESTA NORMA DE PUBLICACIÓN MENSUAL y se

cuanto la actualización esté preparada."

El caso es que desde hace semanas tenemos varios de

concreto hay varias vulnerabilidades de Internet

han hecho públicas (algunas desde finales de

catalogadas como críticas (tanto por su impacto como

facilidad de explotación), y están siendo aprovechadas

A día de hoy, finales de diciembre, aun no hay parches

esas vulnerabilidades. De entrada queda patente los

respuesta de Microsoft ante vulnerabilidades críticas.

queda pendiente conocer cuando se publicarán finalmente

parches.

Si los parches de Internet Explorer se publican en su

actualizaciones mensuales, el segundo martes de enero,

hacerlo de forma puntual en cuanto tengan la solución

importancia), Microsoft habrá tirado por tierra gran

propias argumentaciones.


Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/1886/comentar

Más Información:

Explicaciones de Microsoft sobre su nueva política de

http://www.hispasec.com/unaaldia/1877

Parches y actualizaciones, un problema común
http://www.hispasec.com/unaaldia/1884


Bernardo Quintero
>>
Informacion extraida de:

Ille Corvus. Hic et Nunc.

.

1) Las vulnerabilidades existen y se explotan antes de ser publicadas

Correcto y afirmativo, incluso algunos hackers que se las dan de "Santos"
ven si hay algo explotable antes de avisar de tal o cual nuevo "Agujero"...

2) Microsoft no descubre las vulnerabilidades

Pues esto no lo se a ciencia cierta pero parece cierto, almenos en este año
que termina microsoft no clama responsabilidad por ninguno de los agujeros
detectados y si hay muchos otros que claman su descubrimiento...

3) Las empresas planifican sus propias políticas de actualizaciones

Muy correcto y aceptable, recuerda que despues del SP1 hubo que "Reparchar"
sobre algunos detalles que dejo mal el "Parche", esto en mision critica no
es aceptable, pero tambien es cierto que los escenarios de pruebas son
permanentes y a la salida de cualquier detalle, el ejercito de informatico
debe estar listo para probarlo sin demora y aceptar o denegar su
implementacion.

4) Dificultad para usuarios sin banda ancha en la descarga de grandes
actualizaciones

De super acuerdo con esto, y no me eches sal en la herida que aun la tengo
abierta...
Gente pobre en comunidades rurales con modems y conexiones a 33,600 BPS y se
les llamo todo tipo de insultos por no instalar un SP1 de 130 MB y otros 72
MB de actualizaciones via intenet???
y otros tantos insultos por preguntar como desactivar un agente de
actualizaciones que verdaderamente no sirve PARA NADA cuando tienes un modem
y conexion de 33600.
Mejor lo dejamos de lado

5) Comparativa Microsoft vs. Linux cualitativa (no cuantitativa)

Esto lo pregunte yo mismo hace rato, por que como que ya es cansado leer a
los dos bandos tirandose bolita por bolita cada bug que se encuentra en cada
sistema operativo esto no es justo ni de un lado ni de otro, vamos a ver
cual ha sido el mas dañino y/o peligroso de un lado y otro

Por lo que se este año MS se lleva la palma con todo y honores, al tener un
bug en un sistema operativo que estaba latente desde Windows NT4 y que
parece mentira pero le pego hasta al recien nacido Windows 2003 a solo unos
dias de haber visto la luz con fanfarria y pompa que ensalzaba el
"Asombroso" nivel de integridad y seguridad, no os preocupeis chicos, que
hasta Fred Astaire se cayo alguna vez en el escenario...

1) Las vulnerabilidades existen y se explotan antes de ser publicadas

Correcto y afirmativo, incluso algunos hackers que se las dan de "Santos"
ven si hay algo explotable antes de avisar de tal o cual nuevo "Agujero"...

2) Microsoft no descubre las vulnerabilidades

Pues esto no lo se a ciencia cierta pero parece cierto, almenos en este año
que termina microsoft no clama responsabilidad por ninguno de los agujeros
detectados y si hay muchos otros que claman su descubrimiento...

3) Las empresas planifican sus propias políticas de actualizaciones

Muy correcto y aceptable, recuerda que despues del SP1 hubo que "Reparchar"
sobre algunos detalles que dejo mal el "Parche", esto en mision critica no
es aceptable, pero tambien es cierto que los escenarios de pruebas son
permanentes y a la salida de cualquier detalle, el ejercito de informatico
debe estar listo para probarlo sin demora y aceptar o denegar su
implementacion.

4) Dificultad para usuarios sin banda ancha en la descarga de grandes
actualizaciones

De super acuerdo con esto, y no me eches sal en la herida que aun la tengo
abierta...
Gente pobre en comunidades rurales con modems y conexiones a 33,600 BPS y se
les llamo todo tipo de insultos por no instalar un SP1 de 130 MB y otros 72
MB de actualizaciones via intenet???
y otros tantos insultos por preguntar como desactivar un agente de
actualizaciones que verdaderamente no sirve PARA NADA cuando tienes un modem
y conexion de 33600.
Mejor lo dejamos de lado

5) Comparativa Microsoft vs. Linux cualitativa (no cuantitativa)

Esto lo pregunte yo mismo hace rato, por que como que ya es cansado leer a
los dos bandos tirandose bolita por bolita cada bug que se encuentra en cada
sistema operativo esto no es justo ni de un lado ni de otro, vamos a ver
cual ha sido el mas dañino y/o peligroso de un lado y otro

Por lo que se este año MS se lleva la palma con todo y honores, al tener un
bug en un sistema operativo que estaba latente desde Windows NT4 y que
parece mentira pero le pego hasta al recien nacido Windows 2003 a solo unos
dias de haber visto la luz con fanfarria y pompa que ensalzaba el
"Asombroso" nivel de integridad y seguridad, no os preocupeis chicos, que
hasta Fred Astaire se cayo alguna vez en el escenario...