lunes, 15 de octubre de 2007

MS07-057 no oficial

Resulta que hace varios meses se sabía de una vulnerabilidad en IE7 (CVE-2007-3896).
Microsoft en pocas palabras se desentendió del problema y argumentó varias cuestiones para evadir publicar un parche.
En fin, el punto es que un investigador desarrolló un parche para este hueco de seguridad, ya que la empresa no emitió uno, hasta el martes 9 de octubre.
¿Qué significa que un investigador haga un parche antes que un fabricante? Pues para el fabricante, es una llamada de atención, y bastante seria. Es como si le dijeran a usted que su auto marca “x” tiene un defecto, y en Tepito de ofrecieran la solución, pero no así el fabricante del auto. Esta no es la primera vez que pasa esto, y en mi opinión la empresa debe de tomarlo de manera seria.


Claro, el fabricante recomienda no instalar el parche “no oficial”, pero vean el lado de la víctima, del usuario vulnerable que no tiene parche del fabricante y que tiene que seguir viviendo con esto. Probablemente al usuario común no le preocupe, pero a las empresas sí les interesa que haya sistemas en su infraestructura que tengan un hueco de debilidad...y que no puedan hacer nada al respecto mas que sentarse y rezar para que nada malo pase. O tienen la opción de un parche no oficial que los hace dormir más tranquilos. Por cierto, anexo la liga de este parche:



En fin, aquí surgen diversas cuestiones que habría que analizar como: ¿Realmente el parche no oficial resuelve el problema? ¿El parche no oficial contiene un troyano? ¿Debo esperar a ver si el fabricante publica algo o aplicar el parche no oficial? Ahí están las preguntas, sin embargo no hay una respuesta fácil.
En conclusión, si yo fuera un directivo de Microsoft, ya habría mandado llamar a alguien para pedir algunas explicaciones, no creen?