La parte no oficial de Microsoft

29/03/2006 - 20:11 por JM Tella Llop [MVP Windows] | Informe spam
La parte no oficial de Microsoft

Son días agitados para el navegador de Microsoft, Internet Explorer. A
día de hoy, existen dos vulnerabilidades importantes sin parche
oficial, una de ellas incluso está siendo aprovechada masivamente.

Diferentes compañías sacan parches no oficiales y además, la propia
Microsoft crea una página oficial donde aceptará sugerencias de
usuarios y desarrolladores.

Hace apenas unos días se hizo pública la existencia de una nueva
vulnerabilidad crítica en Internet Explorer 5.x y 6.x. A las pocas
horas de darse a conocer apareció la primera prueba de concepto
funcional y poco después, como se esperaba, ya existían páginas
aprovechando la vulnerabilidad. Poco después se daba a conocer otro
error igual de importante en Internet Explorer. Este ha sido llevado
de forma mucho más discreta por su descubridor y la propia Microsoft,
de forma que no se conocen demasiados detalles sobre el problema ni se
tiene constancia de que esté siendo aprovechado de forma masiva. El
fallo se debe a un error no especificado en el manejo de aplicaciones
.HTA que permite la ejecución automática de programas ".HTA" (HTML
Applications).

El primero de los errores está reconocido y documentado por Microsoft,
pero no se sabe si publicará un parche antes de lo previsto para
mitigar el problema o habrá que esperar al día 11 de abril en el que
se espera su publicación mensual de boletines y parches de seguridad.
Mientras, Microsoft recomienda modificar la configuración del
explorador para evitar el Active Scripting.

Ante la urgencia y gravedad del problema, eEye y Determina, de forma
independiente y simultánea, han puesto a disposición de cualquiera
ejecutables que solucionan (siempre temporalmente y sin garantías) el
problema. eEye incluso pone a disposición de todos el código fuente
del parche. Como es lógico las empresas no ofrecen garantías sobre el
parche y debido a la celeridad con la que han aparecido no aseguran
que no pueda provocar incompatibilidades con alguna página o software.

Como ya ocurriera con la vulnerabilidad WMF, en la que desarrolladores
independientes crearon parches no oficiales y los hicieron públicos,
en esta ocasión son ya dos las compañías que ofrecen una solución
cómoda para mitigar el problema. Llama la atención que en pocos meses
hayamos asistido a la aparición de hasta cuatro parches no oficiales
destinados a mitigar dos problemas de seguridad acuciantes en el
navegador de Microsoft. El primer parche para WMF fue creado de forma
independiente por el reconocido Ilfak Guilfanov, desarrollador de uno
de los desensambladores más populares (IDA), que hizo el trabajo por
su cuenta y publicó un parche que se mostró muy eficaz y estable.
Aunque ya existieron parches no oficiales en el pasado para otras
vulnerabilidades, ninguno fue tan popular. El éxito inesperado y el
número de descargas hicieron que la página desde donde estaba
disponible fuese colapsada durante varias horas. A los pocos días
Eset, empresa detrás del antivirus NOD32, se apuntaba al carro y
publicaba otro parche no oficial para el problema.

Es posible que nos hallemos ante una nueva tendencia en la que
compañías y empresas de seguridad se adelantan a la propia Microsoft
con la intención de obtener reconocimiento, prestigio, visitas y
popularidad.

Al margen de la eficacia de estos parches y de la libre decisión de
usarlos o no, lo indudable es que estas maniobras estimulan a
Microsoft de forma indirecta para la publicación de un parche oficial
y provocan una importante presión mediática en la compañía, en cuya
política de publicación de seguridad prima la calidad (dedican mucho
más tiempo a pruebas que al desarrollo) antes que la velocidad de
publicación. De hecho, fue la presión mediática la que hizo que no se
esperara al segundo martes de febrero para publicar el parche oficial
para la vulnerabilidad WMF.

Por otro lado y al margen (o quizás no) de esta publicación no oficial
de parches, Microsoft saca a la luz un portal desde donde acepta todo
tipo de feedback o sugerencias (sobre seguridad o no) dedicadas a
Internet Explorer. Al Billings, en el blog oficial que lo anuncia, lo
compara con Bugzilla. Una idea con la que se pretende estimular la
cooperación de la comunidad con el producto de Microsoft de una forma
mucho más cómoda y centralizada. Es evidente que si la comunidad
pública y privada es capaz de desarrollar parches eficaces, puede
aportar mucho al navegador, y parece que de esta forma Microsoft,
acertadamente, ha reconocido la importancia de su colaboración activa.

Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/2713/comentar

Más Información:

Downloading eEye’s Temporary Workaround
http://www.eeye.com/html/research/a...60324.html

How to Disable Active Content in Internet Explorer
http://support.microsoft.com/kb/q154036/

Determina Fix for CVE-2006-1359
http://www.determina.com/security_c...2006_1.asp

Announcing Internet Explorer Feedback
http://blogs.msdn.com/ie/archive/20...60095.aspx

Big hole unearthed in IE6
http://jeffrey.vanderstad.net/grasshopper/
Sergio de los Santos

Jose Manuel Tella Llop
MVP - Windows
jmtella@XXXcompuserve.com (quitar XXX)
http://www.multingles.net/jmt.htm
news://jmtella.com

Este mensaje se proporciona "como está" sin garantías de ninguna
clase,
y no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no
rights.
You assume all risk for your use.
 

Leer las respuestas

#1 JM Tella Llop [MVP Windows]
29/03/2006 - 20:15 | Informe spam
*falsificacion *

Jose Manuel Tella Llop
MVP - Windows
(quitar XXX)
http://www.multingles.net/jmt.htm
news://jmtella.com

Este mensaje se proporciona "como está" sin garantías de ninguna clase,
y no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no
rights.
You assume all risk for your use.



"JM Tella Llop [MVP Windows]" wrote in message news:6ayqn0g1c3k2$
La parte no oficial de Microsoft

Son días agitados para el navegador de Microsoft, Internet Explorer. A
día de hoy, existen dos vulnerabilidades importantes sin parche
oficial, una de ellas incluso está siendo aprovechada masivamente.

Diferentes compañías sacan parches no oficiales y además, la propia
Microsoft crea una página oficial donde aceptará sugerencias de
usuarios y desarrolladores.

Hace apenas unos días se hizo pública la existencia de una nueva
vulnerabilidad crítica en Internet Explorer 5.x y 6.x. A las pocas
horas de darse a conocer apareció la primera prueba de concepto
funcional y poco después, como se esperaba, ya existían páginas
aprovechando la vulnerabilidad. Poco después se daba a conocer otro
error igual de importante en Internet Explorer. Este ha sido llevado
de forma mucho más discreta por su descubridor y la propia Microsoft,
de forma que no se conocen demasiados detalles sobre el problema ni se
tiene constancia de que esté siendo aprovechado de forma masiva. El
fallo se debe a un error no especificado en el manejo de aplicaciones
.HTA que permite la ejecución automática de programas ".HTA" (HTML
Applications).

El primero de los errores está reconocido y documentado por Microsoft,
pero no se sabe si publicará un parche antes de lo previsto para
mitigar el problema o habrá que esperar al día 11 de abril en el que
se espera su publicación mensual de boletines y parches de seguridad.
Mientras, Microsoft recomienda modificar la configuración del
explorador para evitar el Active Scripting.

Ante la urgencia y gravedad del problema, eEye y Determina, de forma
independiente y simultánea, han puesto a disposición de cualquiera
ejecutables que solucionan (siempre temporalmente y sin garantías) el
problema. eEye incluso pone a disposición de todos el código fuente
del parche. Como es lógico las empresas no ofrecen garantías sobre el
parche y debido a la celeridad con la que han aparecido no aseguran
que no pueda provocar incompatibilidades con alguna página o software.

Como ya ocurriera con la vulnerabilidad WMF, en la que desarrolladores
independientes crearon parches no oficiales y los hicieron públicos,
en esta ocasión son ya dos las compañías que ofrecen una solución
cómoda para mitigar el problema. Llama la atención que en pocos meses
hayamos asistido a la aparición de hasta cuatro parches no oficiales
destinados a mitigar dos problemas de seguridad acuciantes en el
navegador de Microsoft. El primer parche para WMF fue creado de forma
independiente por el reconocido Ilfak Guilfanov, desarrollador de uno
de los desensambladores más populares (IDA), que hizo el trabajo por
su cuenta y publicó un parche que se mostró muy eficaz y estable.
Aunque ya existieron parches no oficiales en el pasado para otras
vulnerabilidades, ninguno fue tan popular. El éxito inesperado y el
número de descargas hicieron que la página desde donde estaba
disponible fuese colapsada durante varias horas. A los pocos días
Eset, empresa detrás del antivirus NOD32, se apuntaba al carro y
publicaba otro parche no oficial para el problema.

Es posible que nos hallemos ante una nueva tendencia en la que
compañías y empresas de seguridad se adelantan a la propia Microsoft
con la intención de obtener reconocimiento, prestigio, visitas y
popularidad.

Al margen de la eficacia de estos parches y de la libre decisión de
usarlos o no, lo indudable es que estas maniobras estimulan a
Microsoft de forma indirecta para la publicación de un parche oficial
y provocan una importante presión mediática en la compañía, en cuya
política de publicación de seguridad prima la calidad (dedican mucho
más tiempo a pruebas que al desarrollo) antes que la velocidad de
publicación. De hecho, fue la presión mediática la que hizo que no se
esperara al segundo martes de febrero para publicar el parche oficial
para la vulnerabilidad WMF.

Por otro lado y al margen (o quizás no) de esta publicación no oficial
de parches, Microsoft saca a la luz un portal desde donde acepta todo
tipo de feedback o sugerencias (sobre seguridad o no) dedicadas a
Internet Explorer. Al Billings, en el blog oficial que lo anuncia, lo
compara con Bugzilla. Una idea con la que se pretende estimular la
cooperación de la comunidad con el producto de Microsoft de una forma
mucho más cómoda y centralizada. Es evidente que si la comunidad
pública y privada es capaz de desarrollar parches eficaces, puede
aportar mucho al navegador, y parece que de esta forma Microsoft,
acertadamente, ha reconocido la importancia de su colaboración activa.

Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/2713/comentar

Más Información:

Downloading eEye’s Temporary Workaround
http://www.eeye.com/html/research/a...60324.html

How to Disable Active Content in Internet Explorer
http://support.microsoft.com/kb/q154036/

Determina Fix for CVE-2006-1359
http://www.determina.com/security_c...2006_1.asp

Announcing Internet Explorer Feedback
http://blogs.msdn.com/ie/archive/20...60095.aspx

Big hole unearthed in IE6
http://jeffrey.vanderstad.net/grasshopper/
Sergio de los Santos

Jose Manuel Tella Llop
MVP - Windows
(quitar XXX)
http://www.multingles.net/jmt.htm
news://jmtella.com

Este mensaje se proporciona "como está" sin garantías de ninguna
clase,
y no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no
rights.
You assume all risk for your use.

Preguntas similares