El incidente demando 24 horas para corregir las
fallas
El parche acumulativo para Internet Explorer, que Microsoft liberó el
martes 9 de agosto, estaba corrupto, dijo la compañía. Pero tambien Mozilla Suite y Mozilla Firefox, fueron afectados por múltiples
vulnerabilidades explotables en forma remota, puso de relive el sitio uruguayo VideoSoft, que informó en ambos casos de estas fallas.
Un atacante puede obtener ventajas de estos fallos para ejecutar código en el equipo afectado, con los privilegios del usuario
actualmente conectado, señalan los análisis.
Estas vulnerabilidades también permiten a un atacante robar cookies, o acceder a otra información confidencial.
Varias de las actualizaciones liberadas este mes para el Internet Explorer, y que estaban disponibles en principio mediante el centro
de descargas, estaban corruptas, indicaron fuentes de Microsoft, y no podían ser instaladas.
“Las actualizaciones fueron corrompidas, rompiendo las firmas digitales”, escribió un miembro del equipo de desarrollo del Internet
Explorer en el blog oficial. “Hemos identificado el problema y eliminado las actualizaciones afectadas del centro de descargas”.
Las firmas vulneradas ocasionaron fallos en el Internet Explorer, y en el Servidor de Administración de Sistemas (SMS, Systems
Management Server), la herramienta de administración utilizada para distribuir actualizaciones y nuevos programas.
“Si los clientes obtuvieron la actualización del centro de descargas apenas después de la liberación de las 10:00 AM (Pacific Daylight
Saving Time, 17:00 UTC/GMT), entonces la actualización descargada no se podía instalar”, confirmó un portavoz de Microsoft. “Microsoft
obtuvo las actualizaciones del centro de descargas, investigó la causa del problema, y republicó las actualizaciones.”
Según pudimos comprobar en VSAntivirus, los enlaces para la actualización indicada en el boletín de seguridad MS05-038, no estuvieron
disponibles por casi 24 horas, o sea hasta el miércoles 10.
Solo las actualizaciones publicadas en el centro de descargas (Download Center), que es a donde apuntan los enlaces de los boletines
de seguridad, fueron afectadas, indicó Microsoft. “Las actualizaciones automáticas, Windows Update, Microsoft Update, y Windows Server
Update Services (WSUS) no fueron afectados”, indicó la compañía en una explicación agregada al boletín MS05-038.
El fallo técnico es un bochorno para Microsoft. “Nunca había visto una actualización corrompida como ésta”, indicó Mike Murray,
director de investigación de nCircle, una compañía que vende herramientas para el control de vulnerabilidades. “Hemos tenido
actualizaciones que estaban corruptas de alguna manera o no trabajaban como deberían, pero no esto.”
Microsoft se enteró del problema por los comentarios de algunos usuarios en el propio blog de la compañía. Dominic White, un
estudiante de ciencias de la computación de la Universidad de Rhodes, quien ha publicado artículos sobre tecnologías de actualización
automática en general, y de Microsoft en particular, fue uno de ellos.
“Lo que me molesta es la forma en que lo describieron”, publicó White. “Microsoft dijo que esto sólo afectó a los usuarios que
descargaron desde el centro de descargas. Pero ello es casi como decir que alguna persona comprometió específicamente los parches”,
dice White. Nadie pareció pensar acerca de la posibilidad de que los parches pudieran haber sido hackeados, y Microsoft no dijo que no
lo fueron.
“Francamente, los parches son un pequeño Santo Grial para la distribución de malware”, continuó White. “Imaginen recibir una pieza de
malware distribuido via Microsoft Update. Podrían infectar miles de máquinas y obtener privilegios de administrador. Las firmas
digitales nos proveen de una forma para saber que los parches que descargamos son de quien dicen ser. No tiene justificación que hayan
ignorado este mecanismo.”
Tambien: