• Registrarse
  • Iniciar sesión


  • Resultados 1 al 2 de 2

    "La parte no oficial de Microsoft"

    Son días agitados para el navegador de Microsoft, Internet Explorer. A día de hoy, existen dos vulnerabilidades importantes sin parche oficial, una de ellas incluso está siendo aprovechada masivamente. Diferentes compañías sacan parches no oficiales ...

          
    1. #1
      Usuario Avatar de kontainer
      Registrado
      jul 2005
      Ubicación
      V
      Mensajes
      1.374

      Mensaje "La parte no oficial de Microsoft"

      Son días agitados para el navegador de Microsoft, Internet Explorer. A
      día de hoy, existen dos vulnerabilidades importantes sin parche oficial,
      una de ellas incluso está siendo aprovechada masivamente. Diferentes
      compañías sacan parches no oficiales y además, la propia Microsoft
      crea una página oficial donde aceptará sugerencias de usuarios y
      desarrolladores.

      Hace apenas unos días se hizo pública la existencia de una nueva
      vulnerabilidad crítica en Internet Explorer 5.x y 6.x. A las pocas horas
      de darse a conocer apareció la primera prueba de concepto funcional y
      poco después, como se esperaba, ya existían páginas aprovechando la
      vulnerabilidad. Poco después se daba a conocer otro error igual de
      importante en Internet Explorer. Este ha sido llevado de forma mucho más
      discreta por su descubridor y la propia Microsoft, de forma que no se
      conocen demasiados detalles sobre el problema ni se tiene constancia de
      que esté siendo aprovechado de forma masiva. El fallo se debe a un error
      no especificado en el manejo de aplicaciones .HTA que permite la
      ejecución automática de programas ".HTA" (HTML Applications).

      El primero de los errores está reconocido y documentado por Microsoft,
      pero no se sabe si publicará un parche antes de lo previsto para mitigar
      el problema o habrá que esperar al día 11 de abril en el que se espera
      su publicación mensual de boletines y parches de seguridad. Mientras,
      Microsoft recomienda modificar la configuración del explorador para
      evitar el Active Scripting.

      Ante la urgencia y gravedad del problema, eEye y Determina, de forma
      independiente y simultánea, han puesto a disposición de cualquiera
      ejecutables que solucionan (siempre temporalmente y sin garantías) el
      problema. eEye incluso pone a disposición de todos el código fuente del
      parche. Como es lógico las empresas no ofrecen garantías sobre el parche
      y debido a la celeridad con la que han aparecido no aseguran que no
      pueda provocar incompatibilidades con alguna página o software.

      Como ya ocurriera con la vulnerabilidad WMF, en la que desarrolladores
      independientes crearon parches no oficiales y los hicieron públicos, en
      esta ocasión son ya dos las compañías que ofrecen una solución cómoda
      para mitigar el problema. Llama la atención que en pocos meses hayamos
      asistido a la aparición de hasta cuatro parches no oficiales destinados
      a mitigar dos problemas de seguridad acuciantes en el navegador de
      Microsoft. El primer parche para WMF fue creado de forma independiente
      por el reconocido Ilfak Guilfanov, desarrollador de uno de los
      desensambladores más populares (IDA), que hizo el trabajo por su cuenta
      y publicó un parche que se mostró muy eficaz y estable. Aunque ya
      existieron parches no oficiales en el pasado para otras
      vulnerabilidades, ninguno fue tan popular. El éxito inesperado y el
      número de descargas hicieron que la página desde donde estaba disponible
      fuese colapsada durante varias horas. A los pocos días Eset, empresa
      detrás del antivirus NOD32, se apuntaba al carro y publicaba otro parche
      no oficial para el problema.

      Es posible que nos hallemos ante una nueva tendencia en la que compañías
      y empresas de seguridad se adelantan a la propia Microsoft con la
      intención de obtener reconocimiento, prestigio, visitas y popularidad.
      Al margen de la eficacia de estos parches y de la libre decisión de
      usarlos o no, lo indudable es que estas maniobras estimulan a Microsoft
      de forma indirecta para la publicación de un parche oficial y provocan
      una importante presión mediática en la compañía, en cuya política de
      publicación de seguridad prima la calidad (dedican mucho más tiempo a
      pruebas que al desarrollo) antes que la velocidad de publicación. De
      hecho, fue la presión mediática la que hizo que no se esperara al
      segundo martes de febrero para publicar el parche oficial para la
      vulnerabilidad WMF.

      Por otro lado y al margen (o quizás no) de esta publicación no oficial
      de parches, Microsoft saca a la luz un portal desde donde acepta todo
      tipo de feedback o sugerencias (sobre seguridad o no) dedicadas a
      Internet Explorer. Al Billings, en el blog oficial que lo anuncia, lo
      compara con Bugzilla. Una idea con la que se pretende estimular la
      cooperación de la comunidad con el producto de Microsoft de una forma
      mucho más cómoda y centralizada. Es evidente que si la comunidad pública
      y privada es capaz de desarrollar parches eficaces, puede aportar mucho
      al navegador, y parece que de esta forma Microsoft, acertadamente, ha
      reconocido la importancia de su colaboración activa.
      • Más información:


      Downloading eEye’s Temporary Workaround
      http://www.eeye.com/html/research/al...L20060324.html

      How to Disable Active Content in Internet Explorer
      http://support.microsoft.com/kb/q154036/

      Determina Fix for CVE-2006-1359
      http://www.determina.com/security_ce...ch272006_1.asp

      Announcing Internet Explorer Feedback
      http://blogs.msdn.com/ie/archive/2006/03/24/560095.aspx

      Big hole unearthed in IE6
      http://jeffrey.vanderstad.net/grasshopper/

    2. #2
      Ex-Colaboradora Avatar de Astareth
      Registrado
      mar 2006
      Ubicación
      Mexico City
      Mensajes
      3.958

      Re: "La parte no oficial de Microsoft"

      Yo por eso me quedo con firefox

      Salu2