Nuevas vulnerabilidades en productos de Adobe y Microsoft

De nuevo nos encontramos ante unos avisos de seguridad lanzados por dos de las empresas con más peso en la industria de la informática. Tanto Adobe como Microsoft han alertado sobre el descubrimiento de vulnerabilidades que podrían aprovecharse para ejecutar código no autorizado y tomar el control de un sistema.

Microsoft avisó de un agujero de seguridad en todas las versiones de Windows que aun reciben soporte (e intuimos que otras, como Windows XP SP1 y 2, también se incluyen), que permitiría a un atacante ejecutar scripts maliciosos cuando un usuario visitase una web modificada para aprovechar esta vulnerabilidad. Sabiendo que esta vulnerabilidad ya está siendo aprovechada, Microsoft ha publicado una solución temporal (conocida como Fix it) para que los usuarios puedan protegerse mientras se prepara el parche de seguridad correspondiente. Es de agradecer esta política de soluciones temporales que Microsoft viene aplicando desde hace tiempo puesto que evita dejar desprotegidos muchos sistemas mientras se aplica la solución definitiva.

Con respecto a Adobe, esta compañía ha lanzado un aviso de seguridad que afecta a sus productos Adobe Flash Player, Adobe Reader y Acrobat en sus versiones más recientes. La vulnerabilidad descubierta podría hacer que el sistema fallase y un atacante tomase el control del mismo. Ya se han visto casos en los que un archivo malicisoso de Flash (.swf) ha sido introducido en un archivo de Microsoft Excel (.xls), enviándose este a través de adjuntos de mensajes de correo electrónico. No se dispone por el momento de solución a esta vulnerabilidad, aunque el modo protegido de Adobe Reader X debería de proteger contra este tipo de exploits. Adobe ya ha anunciado que lanzará un parche para Flash Player y Acrobat la semana que viene pero que los usuarios de Adobe Reader X deberán esperar hasta el próximo ciclo de actualizaciones, previsto para el 14 de Junio.

Que se descubran vulnerabilidades en productos con una base de usuarios muy grande no debería sorprendernos a estas alturas. A diario aparece información sobre fallos de seguridad en todo tipo de software y parte de estas vulnerabilidades son publicadas en webs especializadas. Otras veces, como en este caso, son los propios fabricantes quienes hacen públicos los fallos de seguridad de sus productos y proporcionan soluciones, parches o fechas avisando de cuando se van a solucionar estos errores.

Pero aún quedan las vulnerabilidades que no se publican, las que se usan para traficar con ellas en el mercado negro o preparar ataques elaborados contra objetivos concretos. Estas vulnerabilidades pueden permanecer escondidas, incluso durante años, hasta que salen a la luz, si es que lo hacen. Durante ese lapso de tiempo en el que la vulnerabilidad está siendo aprovechada, los atacantes pueden haber conseguido todo tipo de oscuros propósitos de los que no nos daremos cuenta (si es que lo hacemos) hasta tiempo después.

Sin querer entrar a fondo en el debate sobre si los investigadores que descubren vulnerabilidades deberían ser recompensados por los fabricantes o no, desde el laboratorio de ESET en Ontinet.com creemos que, iniciativas como la de Zero Day, que paga a los investigadores por descubrir agujeros de seguridad y da un plazo de seis meses a los fabricantes para que las solucione, deberían ser tomadas en cuenta. De esta forma, se conseguiría que las aplicaciones y sistemas que usamos a diario fueran un software más seguro y se evitaría que algunos investigadores se viesen tentados a vender sus descubrimientos al mejor postor, siendo las mafias de ciberdelincuentes los más interesados en adquirirlos.

Josep Albors

Comentar

Acerca de las cookies en este sitio

Este sitio web utiliza cookies propias y de terceros para mejorar tu experiencia de usuario y obtener información estadística. Para poder seguir navegando pulsa en "Sí, estoy de acuerdo". Podrás retirar este consentimiento en cualquier momento a través de las funciones de tu navegador. Ver nuestra política de cookies..