Microsoft publica el esperado parche para la vulnerabilidad crítica de Explorer

La más reciente actualización de parches de seguridad de Microsoft incluye la solución a la vulnerabilidad crítica del navegador Internet Explorer (IE) que viene siendo aprovechada por los hackers desde hace semanas. Dos empresas de seguridad habían desarrollado ya soluciones provisionales, pero el fabricante considera que adelantar sus parches oficiales en casos especiales puede resultar "disruptivo" para sus usuarios.

Como se prevería, la compañía ha desarrollado cinco parches o actualizaciones con el propósito de cubrir otras tantas vulnerabilidades de nivel crítico descubiertas en IE y Windows, así como una actualización para proteger un fallo “importante” en Outlook Express y otra para resolver problemas “moderados” de Windows FrontPage Server Extensions y SharePoint Team Services 2002.

Dentro de la escala de clasificación para riesgos de seguridad de Microsoft, las vulnerabilidades más peligrosas son calificadas de “críticas”, y como tales se consideran aquellas que abren la puerta a la posibilidad de instalar software no autorizado sin la intervención del usuario. Las siguientes, en orden decreciente, serían las “importantes” y las “moderadas”.

En la última actualización, el parche más esperado era MS06-013, que cubre diversos agujeros de seguridad en IE, incluida la vulnerabilidad conocida como “create TextRange ()”, descubierta el mes pasado y que los hackers han estado aprovechando. Con ella, los agresores han estado instalando software no autorizado sobre PCs incitando a los usuarios a visitar sitios Web creados con este objetivo.

El problema resultó lo suficientemente serie como para que los suministradores de seguridad eEye Digital Security y Determina desarrollaran sus propias soluciones al problema, anticipándose al parche oficial de Microsoft. Ayer, eEye aseguraba que se habían producido más 156.000 descargas de su software.

Los parches de “día cero”, cuanto antes, mejor
Microsoft había recomendado no utilizar estas alternativas. Por eso, Isabel Maldonado decidió seguir las indicaciones del fabricante, que aconsejaba deshabilitar Active Scripting hasta que estuviera disponible la solución oficial. Así lo hico en las 1.100 estaciones de trabajo que administra en la oficina del abogado del condado de Maricopa (Arizona). Su servicio de soporte llegó a recibir unas 100 llamadas como resultado de esta deshabilitación durante el período de dos semanas que la vulnerabilidad ha permanecido sin solución.

El fabricante ha declarado preferir no anticipar la publicación de parches –incluso cuando se dirigen a brechas de “día cero” que estén siendo ya explotadas por los atacantes- porque los clientes consideran menos disruptiva la emisión mensual y regular de las actualizaciones.

Sin embargo, Maldonado asegura que hubiera recibido con alivio el parche, si este hubiera estado disponible con anterioridad. “Hubiera preferido que lanzaran el parche lo antes posible. Y no puedo imaginar que ninguno de sus clientes consideren lo contrario si se trata de una alerta de día cero.”

Más información en http://www.microsoft.com/technet/security/bulletin/ms06-apr.mspx