Los hackers están trabajando contrarreloj para desarrollar sus propias herramientas que les permitan atacar una vulnerabilidad de día cero en Internet Explorer. Esto está presionando a Microsoft para que lance, cuanto antes, un parche que resuelva el problema antes de que los ataques se disparen.
“Se trata, claramente, de una vulnerabilidad crítica y se está haciendo cada vez más peligrosa”, ha declarado Ben Greenbaum, responsable de investigación senior del equipo de respuestas de seguridad de Symantec, quien continúa explicando que “se trata de una carrera, realmente lo es”. Así es como describe el fenómeno que se está produciendo entre los hackers una vez conocida la vulnerabilidad.
En este punto coincide Wolfgang Kandek, responsable de seguridad de Qualys. “Definitivamente, estamos ante un tipo de carrera. Es una cuestión de si Microsoft puede solucionarlo antes de que los hackers desarrollen algo realmente peligroso”. De hecho, según Kandek, variantes del código de ataque original ya han aparecido en la Web. “De modo que los atacantes ya están trabajando en nuevas versiones del mismo”.
Greenbaum se hace eco de las palabras de Kandek, al afirmar que el fallo original era dudoso. “Según nuestras pruebas, el código publicado sólo funciona contra ciertas plataformas. Por ello,los hackers tendrán que trabajar en desarrollar una versión más fiable”. Así las cosas, la tarea que tienen por delante no va a ser fácil, pero sí puede realizarse sin demasiada dificultad, explica Greenbaum, quien ha descrito la creación de un ataque como un punto entre dos polos. “No será fácil, pero tampoco se trata del Santo Grial”.
Desde Microsoft han ofrecido diferentes modos para que los usuarios protejan sus PC hasta que un parche esté disponible. Entre estas soluciones se encuentra la posibilidad de poner en marcha la característica de seguridad DEP, (data execution prevention) en IE6 y en IE7, para impulsar las capacidades de seguridad del navegador. Esta posibilidad ha sido la más implantada por diferentes compañías de seguridad, como un modo de minimizar la posibilidad de sufrir ataques a partir de este fallo. Sin embargo, Kandek no cree que este tipo de medidas sean suficientes. “Estas mitigaciones son muy complicadas y no son muy viables para la mayor parte de los usuarios. Para los clientes, poner y quitar esto puede hacer que no les funcione el navegador”.
Otra opción, sugerida por Microsoft, es instalar IE8, que no contiene esta vulnerabilidad. Es una posibilidad que los usuarios deberían tener en cuenta y que, según Kandek, deberían poner en marcha, aunque es difícil cuando no imposible, que los trabajadores puedan cambiar el navegador de sus equipos empresariales. “Puedo pasarme a IE8 en casa, y los usuarios domésticos deberían hacerlo, pero los empleados no pueden hacerlo en sus equipos empresariales”.
Microsoft lanzará sus actualizaciones de seguridad habituales en dos semanas, concretamente, el 8 de diciembre, pero la mayoría de los investigadores de seguridad no creen que la compañía llegue a solucionar este problema para entonces. “No creo que eso ocurra. IE es una pieza de software crítica y Microsoft querrá probar el parche de manera exhaustiva antes de hacerlo público”, ha declarado Kandek.
Históricamente, Microsoft tarda alrededor de un mes o más tiempo en lanzar un parche para una vulnerabilidad conocida de IE. En raras ocasiones ha lanzado una actualización fuera de fecha, es decir, fuera del segundo martes de cada mes. Además, a día de hoy, desde la compañía afirman no haber tenido evidencias de ataques que utilicen el código publicado, algo que desde Symantec también confirman. Aunque Greenbaum también matiza que “no hay duda de que se están produciendo movimientos en este sentido y los atacantes están probando las aguas para ver cómo funcionan sus respectivas agresiones”.
DirectX 11 El lanzamiento comercial de Windows Vista supuso una renovación muy importante de toda la ...[15/12/2009] - 82 votos
Vuelve el fenómeno thin client Los terminales tontos, esos dispositivos con escasa potencia y mínimos recursos, ...[10/11/2009] - 76 votos
Noticias más votadas
Vodafone presenta el Nokia N97 mini
El Nokia N97 mini es una de las grandes apuestas de Vodafone de cara a la campaña de Navidad (de ...[06/11/2009] - 106 votos
Los ataques informáticos, delito penal
El Gobierno de España ha aprobado el Proyecto de Reforma del Código Penal. De esta forma, los ...[16/11/2009] - 63 votos
Comparativa de antivirus, tema de portada de PC World (número 269) En el número de noviembre de PC World destacamos una intensa comparativa de 8 suites de seguridad del mercado. Además, completamos nuestro curso de programación para la plataforma Blackberry y le ponemos nota a la Palm Pre, el primer dispositivo con sistema operativo WebOS que llega a nuestro país. Todo esto y mucho más en el número de noviembre de PC World. Ya en tu quiosco y en Zinio. [02/11/2009 ] - 93 votos
Resumen del año 2009 en TI Con 2009 llegando a su fin, es hora de hacer balance de cuáles han sido las principales noticias de tecnología. Los anuncios de Windows 7 por parte de Microsoft en materia de software o la llegada del iPhone 3G S de Apple en el terreno del hardware son algunas de ellas. Pero hay muchas más. [22/12/2009 ] - 70 votos
Microsoft celebra ALM´09 Microsoft y sus partners han celebrado recientemente en Madrid el evento ALM´09 Sessions, donde se han dado cita un gran grupo de desarrolladores y directores de proyecto. El objetivo principal ha sido tratar “La Gestión del Ciclo de vida de las aplicaciones”, un área cada vez más crítica para los negocios. A lo largo de las 36 sesiones que han tenido lugar, se han tratado aspectos relacionados con la suite de herramientas Visual Studio 2010, casos prácticos de procesos y metodologías, herramientas de desarrollo, calidad y testing, así como integración con Sharepoint.
Entrevistamos a Julio Fernández Gayoso, director de ventas para Europa de herramientas de desarrollo de Microsoft. [25/11/2009 ] - 67 votos
¿Podrán acabar los discos SSD con los cuellos de botella en los centros de datos? ¿Está justificada la inversión en una tecnología de mayor coste para reemplazar los discos convencionales? ¿Pueden otros factores como el rendimiento o el ahorro de energía compensar esta mayor inversión en infraestructura? ¿Ha llegado el momento de la tecnología SSD a nivel ... [noticia completa]
Oracle acaba de dar a conocer los resultados de su segundo Índice de Gestión del Rendimiento Empresarial del que se desprende que las empresas españolas son las que más han mejorado en lo que ha planificación y modelo de negocio ante la crisis se ... [noticia completa]
Google trabaja en el desarrollo de una tecnología que permita traducir de forma casi instantánea las conversaciones de voz a través de ... [noticia completa]
Aquellos usuarios que se animaron a descargar gratuitamente durante un año la versión previa al lanzamiento definitivo de Windows 7 deberán en breve tomar la decisión de actualizarse o volver a Windows Vista o XP, dado que en breve expira la fecha de ... [noticia completa]
La empresa Veracode ha anunciado la publicación del código fuente de un programa espía (spyware) específico para Blackberry. La empresa asegura que su única intención es mostrar que estos dispositivos son vulnerables a este tipo de ... [noticia completa]
Algunos usuarios exponen en los foros que Windows 7 acorta la vida de las baterías de sus equipos, además de emitir mensajes constantes del tipo “es necesario reemplazar la batería”. ... [noticia completa]
A pesar del auge que está experimentando la virtualización, muchas empresas siguen sin aprovechar todas las ventajas que conlleva. Sin embargo, existen claves para aprovechar las posibilidades de esta tecnología. ¿Quiere ... [noticia completa]
Barcelona será el escenario de prueba de la primera demostración con tecnología HSPA a 84 Mbps. Durante la celebración del Mobile World Congress, Ericsson mostrará una red con gran capacidad de tráfico de datos por el aumento del uso de los smartphones, portátiles y otros ... [noticia completa]
El mercado español de impresión decreció en el cuarto trimestre del año 2009 un 19 por ciento, mientras que si miramos el total del año esta caída es del 21 por ciento frente a 2008. A nivel de fabricantes, HP se mantiene al frente del mercado con un 55 por ciento de cuota a nivel global, todo según los datos de la consultora ... [noticia completa]
Mozilla, encargada del desarrollo de Firerfox, ha confirmado que sus sistemas de vigilancia fallaron y no detectaron el malware tras un par de add-ons que se distribuyeron y que ha infectado a más de 4.600 ... [noticia completa]
Versión impresora
Votar esta noticia (27 votos)
