1

Evite el ataque de cero días al IE antes de que se produzca

Además: Un montón de parches nuevos para una catarata de problemas en el software de Microsoft.

Siento alguna nostalgia mientras escribo esta columna porque luego de firmar Cazaerrores durante ocho años y medio –102 columnas en total– llegó el momento de salir del aire. He disfrutado inmensamente escribir para ustedes durante todos estos años y estoy agradecido de que PC World me haya dado la oportunidad de hacerlo.

Además de servirme para ayudarles a evitar amenazas actuales, he tratado de describir cómo funcionan los agujeros de seguridad y los ataques contra éstos, a fin de que usted esté mejor preparado para enfrentarse a problemas futuros. Ahora, como decía mi papá allá en Montana: "He dicho suficiente"

Los errores siguen apareciendo, no obstante, y este mes no es la excepción.

A pesar de haber lanzado recientemente más parches para errores –entre éstos 23 vulnerabilidades críticas– que en cualquier otro período en los últimos cinco años, Microsoft se quedó fulminada por un error anteriormente desconocido que está presente en todas las versiones asistidas del Internet Explorer (incluso en IE 8 Beta 2)

Ese error desató rápidamente una ola de ataques de cero días en línea, en los que los malhechores atacaban antes de que Microsoft hubiera ideado un parche o solución temporal para evitarlo.

El error afecta una función clave conocida como “data binding” [amarre de datos], de la cual depende el IE para manejar un lenguaje de Internet llamado XML; el agujero tiene que ver con una vulnerabilidad para liberar adecuadamente memoria innecesaria.

Un programa malicioso puede explotar ese error cargando su propio código en la memoria sobrante para así apoderarse de la PC. Si usted ha visitado un sitio al que le han puesto esta trampa o ha pulsado en un vínculo infectada en el correo electrónico, no podrá frenarlo ni aun teniendo los mecanismos de protección del IE al máximo nivel.

Los desarrolladores de Microsoft se apresuraron a lanzar un parche "fuera de ciclo" para tapar el agujero, sin esperar al próximo “Martes de Parches”. Pero los heroicos esfuerzos de la compañía tardaron una semana, y en ese tiempo el ataque se propagó.

Como urgía emitir el parche enseguida, Microsoft no ofreció el arreglo para el IE como una "actualización acumulativa", otra indicación de lo peligroso que consideraba este error.

Han ocurrido ataques "en estado silvestre", por lo cual Microsoft insta a los usuarios a bajar el parche tan pronto como sea posible (si no utilizan actualizaciones automáticas) en www.pcwla.com/buscar/09036901.

23 errores y despedida

¿Y qué pasa con los 23 errores críticos restantes? Antes del zarpazo de los ataques de cero días, Microsoft emitió un parche acumulativo para el IE a fin de arreglar cuatro vulnerabilidades críticas en las versiones 5.01 (en Windows 2000 SP4) hasta el IE7 (en Vista SP1).

Varias de estas debilidades son semejantes técnicamente al agujero del ataque de cero días. Pero a diferencia del error de “data binding”, ninguna de las 23 vulnerabilidades ha sido atacada aún. Asegúrese de mantener sus actualizaciones al corriente. Vea www.pcwla.com/buscar/09036902 para más información y enlaces a los parches.

Microsoft también remendó dos vulnerabilidades en la interfaz del dispositivo de gráficos de Windows, que permite a los programas mostrar textos y gráficos en formato Windows Metafile (vea www.pcwla.com/buscar/09036903 para detalles y un vínculo que lleva al parche). Son dos agujeros en Windows Search para Windows Vista que le hacen susceptible a un archivo de búsqueda preparado con trampa (vea www.pcwla.com/buscar/09036904), así como una serie de errores en Office, entre ellos uno crítico que afecta a Word 2007 (consulte www.pcwla.com/buscar/09036905 para un análisis y parches).

Y eso es todo de mi parte. Espero verlos de nuevo en algún punto de la supercarretera de la información.

-Stuart T. Johnston

Leave a comment

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *