idealibre es un espacio de reflexión sobre tendencias en el software libre y otros tópicos no precisamente relacionados con software
Your host,
Gerardo Contreras
Acerca
Banners
Siganle!
Desde diciembre 27 del año pasado Microsoft reconoció la existencia de un agujero de seguridad en su producto clave, Windows.
¿De qué se trata el problema? Existe un cierto tipo de archivos creados por Microsoft, llamados Windows Metafiles, con extensión WMF. El intérprete de los sistemas operativos de Microsoft para estos archivos, contiene una falla de seguridad que hace posible a un atacante ejecutar código malicioso en la máquina de la víctima, con el simple hecho de que ésta abra un archivo WMF.
A la fecha de hoy (4 de enero del 2006), se conocen mas de 200 ataques para esta vulnerabilidad.
¿Es esto una noticia solamente para los "muy cibernéticos"? ¿Qué significa esto para el usuario común y corriente? Bueno, pues unicamente significa que cualquier persona utilizando Microsoft Internet Explorer o Microsoft Outlook puede infectar su equipo con el simple hecho de visitar un sitio. Nada le preguntará si desea instalar un software en su equipo; simplemente se instalará, sin preguntar a nadie. Lo instalado puede ser virtualmente cualquier cosa: desde un troyano hasta un simple virus, pasando por todas las categorías intermedias (gusano, spyware, adware, etc., etc.).
Una de los argumentos mas recurridos contra el software libre es "En tal programa quién me responde? Nadie! No hay ninguna compañía que te responda por alguna falla en el software!!!", seguido esto de una gran rasgadura de vestido.
Microsoft, de acuerdo a sus políticas, solamente liberará el parche hasta el día martes 10 de enero. ¿Qué le queda mientras tanto a los usuarios que, supuestamente, están respaldados por una garantía? Nada. Solamente rascarse con sus uñas. Claro. Microsoft recomienda mantener actualizado el software antivirus, pero se olvida que los antivirus por naturaleza funcionan de manera *reactiva*; es decir, solamente detectan los virus para los cuales ya existe una firma de identificación. Para los que no, pasan inadvertidos. ¿Cuántos códigos maliciosos potencialmente pueden existir para 200 ataques conocidos para esta vulnerabilidad?
Tan grave está la situación, que ya un escritor de software europeo (¡que raro que sea europeo!), Ilfak Guilfanov, creó un parche para Windows, publicando también su código fuente. Este parche no es el mismo que Microsoft liberará, por supuesto, pero en caso de urgencia, ahí está, y funciona.
Así que pensemos: ¿qué prefiere usted? ¿estar en las manos de una compañía que *solamente* liberará parches para sus sistemas una sola vez al mes, si bien le va, o estar en las manos de toda una comunidad que, de ser posible, liberará los parches necesarios cuando se requieran?
Ahi está la tarea.
UPDATE: Microsoft anunció que hoy, martes 5 de enero, liberaría el parche a las 2PST. ¡Vaya que funcionan los blogs! Microsoft dice que el parche se liberaría dado que ya pasaron todas las pruebas de calidad. La pregunta ahora es: ¿ninguno de los otros parches que puede liberar pasan las pruebas de calidad sino hasta justamente el martes de parches? Vaya usted a saber...
¿De qué se trata el problema? Existe un cierto tipo de archivos creados por Microsoft, llamados Windows Metafiles, con extensión WMF. El intérprete de los sistemas operativos de Microsoft para estos archivos, contiene una falla de seguridad que hace posible a un atacante ejecutar código malicioso en la máquina de la víctima, con el simple hecho de que ésta abra un archivo WMF.
A la fecha de hoy (4 de enero del 2006), se conocen mas de 200 ataques para esta vulnerabilidad.
¿Es esto una noticia solamente para los "muy cibernéticos"? ¿Qué significa esto para el usuario común y corriente? Bueno, pues unicamente significa que cualquier persona utilizando Microsoft Internet Explorer o Microsoft Outlook puede infectar su equipo con el simple hecho de visitar un sitio. Nada le preguntará si desea instalar un software en su equipo; simplemente se instalará, sin preguntar a nadie. Lo instalado puede ser virtualmente cualquier cosa: desde un troyano hasta un simple virus, pasando por todas las categorías intermedias (gusano, spyware, adware, etc., etc.).
Una de los argumentos mas recurridos contra el software libre es "En tal programa quién me responde? Nadie! No hay ninguna compañía que te responda por alguna falla en el software!!!", seguido esto de una gran rasgadura de vestido.
Microsoft, de acuerdo a sus políticas, solamente liberará el parche hasta el día martes 10 de enero. ¿Qué le queda mientras tanto a los usuarios que, supuestamente, están respaldados por una garantía? Nada. Solamente rascarse con sus uñas. Claro. Microsoft recomienda mantener actualizado el software antivirus, pero se olvida que los antivirus por naturaleza funcionan de manera *reactiva*; es decir, solamente detectan los virus para los cuales ya existe una firma de identificación. Para los que no, pasan inadvertidos. ¿Cuántos códigos maliciosos potencialmente pueden existir para 200 ataques conocidos para esta vulnerabilidad?
Tan grave está la situación, que ya un escritor de software europeo (¡que raro que sea europeo!), Ilfak Guilfanov, creó un parche para Windows, publicando también su código fuente. Este parche no es el mismo que Microsoft liberará, por supuesto, pero en caso de urgencia, ahí está, y funciona.
Así que pensemos: ¿qué prefiere usted? ¿estar en las manos de una compañía que *solamente* liberará parches para sus sistemas una sola vez al mes, si bien le va, o estar en las manos de toda una comunidad que, de ser posible, liberará los parches necesarios cuando se requieran?
Ahi está la tarea.
UPDATE: Microsoft anunció que hoy, martes 5 de enero, liberaría el parche a las 2PST. ¡Vaya que funcionan los blogs! Microsoft dice que el parche se liberaría dado que ya pasaron todas las pruebas de calidad. La pregunta ahora es: ¿ninguno de los otros parches que puede liberar pasan las pruebas de calidad sino hasta justamente el martes de parches? Vaya usted a saber...
Fuentes XML de comentario: RSS | Atom
Dejar un comentario