La parte no oficial de Microsoft

**Tek** · 29/03/2006 19:22

Son días agitados para el navegador de Microsoft, Internet Explorer. A
día de hoy, existen dos vulnerabilidades importantes sin parche oficial,
una de ellas incluso está siendo aprovechada masivamente. Diferentes
compañías sacan parches no oficiales y además, la propia Microsoft
crea una página oficial donde aceptará sugerencias de usuarios y
desarrolladores.

Hace apenas unos días se hizo pública la existencia de una nueva
vulnerabilidad crítica en Internet Explorer 5.x y 6.x. A las pocas horas
de darse a conocer apareció la primera prueba de concepto funcional y
poco después, como se esperaba, ya existían páginas aprovechando la
vulnerabilidad. Poco después se daba a conocer otro error igual de
importante en Internet Explorer. Este ha sido llevado de forma mucho más
discreta por su descubridor y la propia Microsoft, de forma que no se
conocen demasiados detalles sobre el problema ni se tiene constancia de
que esté siendo aprovechado de forma masiva. El fallo se debe a un error
no especificado en el manejo de aplicaciones .HTA que permite la
ejecución automática de programas ".HTA" (HTML Applications).

El primero de los errores está reconocido y documentado por Microsoft,
pero no se sabe si publicará un parche antes de lo previsto para mitigar
el problema o habrá que esperar al día 11 de abril en el que se espera
su publicación mensual de boletines y parches de seguridad. Mientras,
Microsoft recomienda modificar la configuración del explorador para
evitar el Active Scripting.

Ante la urgencia y gravedad del problema, eEye y Determina, de forma
independiente y simultánea, han puesto a disposición de cualquiera
ejecutables que solucionan (siempre temporalmente y sin garantías) el
problema. eEye incluso pone a disposición de todos el código fuente del
parche. Como es lógico las empresas no ofrecen garantías sobre el parche
y debido a la celeridad con la que han aparecido no aseguran que no
pueda provocar incompatibilidades con alguna página o software.

Como ya ocurriera con la vulnerabilidad WMF, en la que desarrolladores
independientes crearon parches no oficiales y los hicieron públicos, en
esta ocasión son ya dos las compañías que ofrecen una solución cómoda
para mitigar el problema. Llama la atención que en pocos meses hayamos
asistido a la aparición de hasta cuatro parches no oficiales destinados
a mitigar dos problemas de seguridad acuciantes en el navegador de
Microsoft. El primer parche para WMF fue creado de forma independiente
por el reconocido Ilfak Guilfanov, desarrollador de uno de los
desensambladores más populares (IDA), que hizo el trabajo por su cuenta
y publicó un parche que se mostró muy eficaz y estable. Aunque ya
existieron parches no oficiales en el pasado para otras
vulnerabilidades, ninguno fue tan popular. El éxito inesperado y el
número de descargas hicieron que la página desde donde estaba disponible
fuese colapsada durante varias horas. A los pocos días Eset, empresa
detrás del antivirus NOD32, se apuntaba al carro y publicaba otro parche
no oficial para el problema.

Es posible que nos hallemos ante una nueva tendencia en la que compañías
y empresas de seguridad se adelantan a la propia Microsoft con la
intención de obtener reconocimiento, prestigio, visitas y popularidad.
Al margen de la eficacia de estos parches y de la libre decisión de
usarlos o no, lo indudable es que estas maniobras estimulan a Microsoft
de forma indirecta para la publicación de un parche oficial y provocan
una importante presión mediática en la compañía, en cuya política de
publicación de seguridad prima la calidad (dedican mucho más tiempo a
pruebas que al desarrollo) antes que la velocidad de publicación. De
hecho, fue la presión mediática la que hizo que no se esperara al
segundo martes de febrero para publicar el parche oficial para la
vulnerabilidad WMF.

Por otro lado y al margen (o quizás no) de esta publicación no oficial
de parches, Microsoft saca a la luz un portal desde donde acepta todo
tipo de feedback o sugerencias (sobre seguridad o no) dedicadas a
Internet Explorer. Al Billings, en el blog oficial que lo anuncia, lo
compara con Bugzilla. Una idea con la que se pretende estimular la
cooperación de la comunidad con el producto de Microsoft de una forma
mucho más cómoda y centralizada. Es evidente que si la comunidad pública
y privada es capaz de desarrollar parches eficaces, puede aportar mucho
al navegador, y parece que de esta forma Microsoft, acertadamente, ha
reconocido la importancia de su colaboración activa.

Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/2713/comentar

Más Información:

Downloading eEye’s Temporary Workaround
http://www.eeye.com/html/research/al...L20060324.html

How to Disable Active Content in Internet Explorer
http://support.microsoft.com/kb/q154036/

Determina Fix for CVE-2006-1359
http://www.determina.com/security_ce...ch272006_1.asp

Announcing Internet Explorer Feedback
http://blogs.msdn.com/ie/archive/2006/03/24/560095.aspx

Big hole unearthed in IE6
http://jeffrey.vanderstad.net/grasshopper/

Sergio de los Santos
ssantos@hispasec.com

Fuente http://www.hispasec.com/
http://www.hispasec.com/unaaldia/2713/

**wkfzar** · 29/03/2006 20:05

...Microsoft saca a la luz un portal desde donde acepta todo tipo de feedback o sugerencias (sobre seguridad o no) dedicadas a Internet Explorer.

En esta noticia http://www.kriptopolis.org/node/2048 se hace mención a una persona que tuvo que pagar 35 dólares para informar de un error a Microsoft.

Evidentemente, la realidad cambia rápido... algunos en MS están abriendo los ojos.

Como los programas se MS son programas de los que se distribuyen binarios (o ejecutables), las vulnerabilidades se detectan en base a análisis de prueba y error.

Si así con, con el software cerrado, ya son DEMASIADAS las vulnerabilidades encontradas, se imaginan si se llegara a conocer el código fuente.

¡¡A ponerse los salvavidas que el Titanic se hunde!!

Saludos.

**ringo** · 05/04/2006 08:15

Windows tiene agujeros por todos lados......por supuesto que los tiene, los tuvo y los tendra.
Micro$oft deja estos susodichos "agujeros" para poder monitorear y sustraer datos de companias, gobiernos, inteligencia corporativa y de defensa u ofensa, counter terrorismo llamenle como quieran etc...esta compania es privada pero ademas es estatal.... seguridad nacional...interes nacional, CIA...FBI... bla bla bla........bajo sobre. (under de table)
En cuanto se descubre un "agujero" meten un parche para dejar a todos tranquilos, y ahi mismo sobre el pucho abren otros,con nuevos programas updates, service packs, etc... hasta que los hackers o las companias de competicion (no tiene muchas) lo descubren, y asi sigue la bocha, como el cuento de la buena pipa.
Imaginen el poder que tienen para enterarse de lo que pasa en el mundo que hacen los gobiernos las corporaciones los individuos.....por supuesto que tiene "agujeros"...y como un colador....en cuanto se los tapan pinchan otro.

Los paises europeos ya hace rato que estan al tanto de estos tejes y manejes particularmente Francia y ahora los chinos van a usar su propio systema operativo creado y monitoreado por ellos mismos.....como dice wkfzar vaya uno a saber que tienen escabullido ahi en el codigo cerrado.

Tengo un derrame cerebral...soy un paranoico...no creo...imaginen Argentina tiene este poder de alimentar y hacer funcionar a casi la totalidad de las computadoras del mundo, con sistema operativo sin competicion el que tiene que ser usado si o si por la totalidad de los gobiernos, companias he individuos del mundo por el solo echo de compatibiliad, en otras palabras un total monopolio en lo referente a comunicacion, negocios, maquinarias, armamentos,internet en fin casi todo...que harian Uds con ese poder...por supuesto lo usarian para sacar el mejor provecho para su pais sus companias su defensa y sus ejercitos....a ver si creen que el Bill Gates es el dueño de Micro$oft...posiblemente lo haya sido en sus inicios, pero no actualmente....ahora es lo que aqui se llamaria un testaferro de la corporacion no ya como una compania independiente sino como un engranaje mas del estado.
The End

**wkfzar** · 05/04/2006 11:37

Iniciado por ringo

Windows tiene agujeros por todos lados......por supuesto que los tiene, los tuvo y los tendra.
Micro$oft deja estos susodichos "agujeros" para poder monitorear y sustraer datos de companias, gobiernos, inteligencia corporativa y de defensa u ofensa, counter terrorismo llamenle como quieran etc...esta compania es privada pero ademas es estatal.... seguridad nacional...interes nacional, CIA...FBI... bla bla bla........bajo sobre. (under de table)
En cuanto se descubre un "agujero" meten un parche para dejar a todos tranquilos, y ahi mismo sobre el pucho abren otros,con nuevos programas updates, service packs, etc... hasta que los hackers o las companias de competicion (no tiene muchas) lo descubren, y asi sigue la bocha, como el cuento de la buena pipa.
Imaginen el poder que tienen para enterarse de lo que pasa en el mundo que hacen los gobiernos las corporaciones los individuos.....por supuesto que tiene "agujeros"...y como un colador....en cuanto se los tapan pinchan otro.

Los paises europeos ya hace rato que estan al tanto de estos tejes y manejes particularmente Francia y ahora los chinos van a usar su propio systema operativo creado y monitoreado por ellos mismos.....como dice wkfzar vaya uno a saber que tienen escabullido ahi en el codigo cerrado.

Tengo un derrame cerebral...soy un paranoico...no creo...imaginen Argentina tiene este poder de alimentar y hacer funcionar a casi la totalidad de las computadoras del mundo, con sistema operativo sin competicion el que tiene que ser usado si o si por la totalidad de los gobiernos, companias he individuos del mundo por el solo echo de compatibiliad, en otras palabras un total monopolio en lo referente a comunicacion, negocios, maquinarias, armamentos,internet en fin casi todo...que harian Uds con ese poder...por supuesto lo usarian para sacar el mejor provecho para su pais sus companias su defensa y sus ejercitos....a ver si creen que el Bill Gates es el dueño de Micro$oft...posiblemente lo haya sido en sus inicios, pero no actualmente....ahora es lo que aqui se llamaria un testaferro de la corporacion no ya como una compania independiente sino como un engranaje mas del estado.
The End

En realidad, esos agujeros a los que te refieres se llaman "puertas traseras", no son algo surgido de errores de programación sino que han sido puestos ahí exprofesamente.

Hoy se usa "agujero" como sinónimo de "vulnerabilidad". Es decir, cosas que no han sido puestas voluntariamente y cuyo uso provoca un error en la ejecución de un programa que termina dando acceso a la máquina. ¿está?

Que el software de MS tiene puertas traseras, seguro. Y que tiene agujeros, mucho más seguro todavía.

Lo primero (puertas traseras) denota una política de MS para sí misma como empresa y para con su país.
Lo segundo (agujeros) denota una mala política de calidad en sus productos... por los motivos que fueren.

En cuanto a tu último párrafo, ese tema está escapa a la mayoría de la gente. A la mayoría no le importan esas disquisiciones, ni las teorías de la conspiración.. y mucho menos saber qué puede implicar un interés nacional o cuestiones de seguridad y confidencialidad.

A la mayoría dejalos con el Word (y su ridículo formateo de página desde el menú Archivo) y punto.

Justamente, estas cuestiones (y otras más) son las que nos motivan a impulsar el uso del software libre. No porque le tengamos un odio ciego a MS o porque no nos cae bien la fortuna de Bill Gates.... sino por las consecuencias y "zonas oscuras" que genera el uso de software cerrado.... mucho más si es software de mala calidad como éste del que estamos conversando...

El Estado no puede darse el lujo de usar software cerrado por la sencilla razón de que entre sus obligaciones está preservar la integridad e intimidad de sus ciudadanos... entonces no puede usar algo de lo que no tiene la absoluta certeza de que no contiene puertas traseras o que no enviará información vía red.

Esto es lo que mis colegas de las reparticiones estatales "han comenzado a descubrir" desde hace un tiempo... y por eso el impulso hacia la adopción del software libre que se está dando últimamente.

Esto va más allá de si me gusta el menú o los colores o los iconitos. Es una cuestión de Estado. No es si me gusta la cerveza o la ginebra. No se trata de gustos. Es una cuestión de seguridad e independencia.

¿Qué se puede aprender de Word o de Windows? Digamos que nada. Sólo se aprende a usarlo.
Pero de un software libre, al disponer de su código fuente, se puede aprender de su hechura, de su técnica, de su arquitectura.

Usando software cerrado viviremos atados a él, dependiendo de los gustos e intenciones de las empresas que los hacen. Usando software libre podemos hasta desarrollar productos derivados, sin cometer piratería y tendiendo a una progresiva independencia tecnológica.

¿Qué más se puede pedir?

**lucho_elmillo** · 05/04/2006 20:58

La verdad coincido totalmente con vos, de a poco me estoy saliendo de windows, de a poco. Tal vez lo que vos fundamentaste sea una de los mayores razones por la cual me estoy despegando de windows y empezando con windows. Gracias por la info.

La parte no oficial de Microsoft

Herramientas

La parte no oficial de Microsoft

Temas Similares

[Ofrecido] XP SP3 5512.080413-2113 Es (iso) Oficial Microsoft

Foro no oficial de Alternativa

[Ofrecido] La Historia Oficial