Windows con dos nuevas vulnerabilidades aún sin resolver

3 Abr 2005 en Seguridad

Directivos de la firma de software de seguridad eEye comunicaron que dos vulnerabilidades de alto nivel apuntan a varias versiones de Microsoft Windows: NT 4.0; 2000; XP y 2003. La gente de Microsoft guardó silencio respecto al tema.
Detalles sobre estas dos vulnerabilidades se reportaron en marzo 16 y 29, respectivamente y Microsoft no hará más aclaraciones hasta que no se liberen los correspondientes patches.
Marc Maiffret, director de temas relacionados con hackers en eEye, afirmó que conviene no dar detalles ya que así se evita que los hackers tengan pistas que les permitan explotar las vulnerabilidades. Según este ejecutivo, hasta el momento no se han conocido explotaciones exitosas de estos bugs.
Las vulnerabilidades en cuestión permiten que un intruso inserte un procedimiento de código para su ejecución en forma remota, ganando así completo control de una computadora. Maiffret agregó que los vectores de ataque pueden proceder de Internet Explorer, Outlook y hasta programas de chat como MSN Messenger o AOL Instant Messenger.
“Se trata básicamente de vulnerabilidades del lado cliente y no necesariamente uno se expone navegando Internet o recibiendo e-mails. Si alguien descubre las vulnerabilidades puede tomar acción. Al momento estamos tratando a éstas como a cualquier otra vulnerabilidad que informamos a Microsoft y ellos trabajan en corregirla,” señaló Maiffret.
Finalmente, un vocero de Microsoft declaró que la compañía estudia las vulnerabilidades y que no ha detectado ningún ataque a su base de clientes, pero se negó a dar detalles más amplios.
“Luego de completada la investigación, Microsoft tomará las acciones adecuadas para proteger a sus clientes. Esto podría ser a través de un arreglo vía un service pack, o dentro del proceso mensual de liberación de patches. Si es necesario, será con una actualización fuera de programa, según las necesidades de los clientes,” afirmó el vocero.
El próximo paquete de arreglos de Microsoft está programado para el día 12 de abril.
Maiffret no cree que el patch esté disponible pronto, ya que Microsoft suele tomarse su tiempo para la corrección de vulnerabilidades (hasta 230 días, en alguna oportunidad.) La firma eEye declara a una vulnerabilidad como crónica o incorregible luego de 60 días, si no aparece el patch.