Microsoft tarda 18 meses en parchear una vulnerabilidad de Explorer

Microsoft podría haber conocido los agujeros críticos en Internet Explorer desde hace meses. Los investigadores descubrieron la última brecha en 2007, pero siguen produciéndose ataques aprovechando estas vulnerabilidades.

En el aviso de seguridad que lanzó el lunes, Microsoft reconoce a Ryan Smith y Alex Wheeler como descubridores del agujero. Ambos expertos trabajaron en su momento en ISS X-Force de IBM, aunque Wheeler es, desde enero de 2008, director de los DVLabs de TippingPoint, propiedad a su vez de 3Com. Este último confirmó que los dos habían desvelado la vulnerabilidad pero atribuyó el mérito a Smith. Sin embargo, rehusó decir cuándo informaron a Microsoft de la brecha. “No me siento a gusto hablando de esto”, dijo apuntando al acuerdo de no divulgación firmado en su momento. En su lugar, remitió las preguntas a su antigua empresa “pues trabajamos en el asunto antes de que yo empezara en TippingPoint”.

El número CVE (Common Vulnerabilities and Exposures) de la vulnerabilidad - CVE-2008-0015 – apunta a principios de 2008 como posible fecha del informe. Según la base de datos, dicho número CVE se reservó el 13 de diciembre de 2007.

ISS X-Force no ha certificado el día en el que se informó de la vulnerabilidad, pero la división de seguridad de IBM también apunta en su propio boletín, publicado igualmente el lunes, que los hackers habían estado explotando la brecha al menos desde el 9 de junio de 2009, hace casi un mes. De hecho, X-Force señalaba dos vulnerabilidades diferentes, diciendo que el Video Controller ActiveX Library de Microsoft, o el archivo "msvidctl.dll" file, no sólo contenía la brecha por desbordamiento del buffer atribuida a Smith y Wheeler, sino también una vulnerabilidad de corrupción de la memoria descubierta por el investigador de X-Force Robert Freeman.

Microsoft no ha respondido a la pregunta de cuándo le informaron de la vulnerabilidad ni por qué no ha parcheado el problema. Pero a juicio de Wheeler, no importa cuándo se informara del agujero, sino su importancia. “Esta vulnerabilidad en particular es relativamente fácil de explotar. Aunque no requiere crear servidores de hosting maliciosos para servir el exploit… tienes que ir a una página web maliciosa para verte comprometido”. Además, aunque el código de ataque no ha sido abiertamente divulgado, según Wheeler no será difícil para otros hackers duplicar lo que ya está hecho.

Microsoft ha confirmado los continuos ataques contra los usuarios de IE6 e IE7 que utilizan Windows XP, a los que ofrece una herramienta automática que establece 45 kill bits diferentes en el control ActiveX para deshabilitarlo. Wheeler, por su parte, propone una opción más obvia: cambiar a navegadores con menos riesgos, como Firefox, Chrome y Safari, que no dependen de la tecnología ActiveX para ejecutar add-ons, como hace IE.

Microsoft ha prometido parchear Windows y/o IE, pero no se ha comprometido con ninguna fecha. Su próximo boletín de seguridad con actualizaciones se emitirá la próxima semana.