(Por El Microsaurio) Hubo mucho ruido en días pasados sobre una vulnerabilidad de Internet Explorer que, según algunas publicaciones, era lo peor de lo peor. Un equipo de Microsoft trabajó mucho para solucionar el tema, y eso es otra historia. Acá te la cuento.
La famosa vulnerabilidad de seguridad en Microsoft Internet Explorer es realmente grave, pero no ha sido la más grave de la historia y tampoco (lamentablemente) será la última. Esta empresa, además, tiene un triste prontuario de fallas de seguridad que tardan semanas (en algún caso, años) en solucionarse.
Los memoriosos recordarán la secuencia de enero del 2006: hubo un gravísimo ataque producido por un grupo de hackers que publicó malware aprovechando una falla en la forma en que Windows abría las imágenes hechas en el sistema WMF (Windows metafile). Puntualmente te relatamos el tema, y también te contamos el culebrón subsiguiente: un programador y especialista en seguridad publicó un “parche no oficial”, que andaba OK, y las grandes empresas norteamericanas lo instalaron, mientras pasaban los días y Microsoft no publicaba el parche oficial. La falla original era de julio del 2005. Como he escrito unas docenas de veces, al gigante de Redmond no le importan demasiado las críticas de los particulares, pero cuando el que te tira la bronca es una corporación a la que le vendiste unas diez mil licencias… bueno… es otra cosa.
La lentitud de Microsoft para proveer a sus clientes una actualización de seguridad en tiempo y forma generó un diluvio de críticas. Desde Redmond explicaron muchas cosas, pero había una verdad de fierro: si hacés un parche y ese parche rompe un sistema que el día anterior andaba al pelo, es serio. Y si lo que deja de funcionar es un banco, o una línea aérea en temporada de vacaciones, es realmente hoyible, como decía el cotur. Les recuerdo la cantidad de veces que publiqué la URL de un parche Microsoft, poniendo al lado del link: “pruébenlo primero en una máquina fuera de producción, no sea cosa que se rompa algo…” Porque los parches del 2005/2006 vuelta a vuelta rompían algo (y aún sucede…).
Algunas cosas parece que han cambiado en Microsoft. Pero es mejor que el cuentito te lo haga el mismísimo Mike Reavey, el director del Microsoft Security Response Center: “…nos enteramos de los primeros detalles de ataques temprano en la mañana del día 9 de diciembre; al día siguiente reunimos los resultados de los análisis en la Recomendación de Seguridad 96105, donde indicamos algunos paliativos; esta recomendación fue re-publicada cinco veces en los ocho días subsiguientes, con modificaciones causadas por la información que seguíamos reuniendo; mientras tanto, seguimos evaluando cómo nuestras recomendaciones bloqueaban los ataques a los sistemas. Durante todo este tiempo estábamos en comunicación con 24 equipos de “partners” de seguridad que iban validando y modificando nuestras recomendaciones, y con la gente del Microsoft Malware Protection Center. Nuestros colegas analizaban y detectaban ataques a servidores donde se plantaba código maligno, como un motor de búsqueda muy popular en Taiwan y varios websites con contenido adulto de Hong Kong (…) el trabajo continuó durante el fin de semana (…) luego se prepararon actualizaciones de seguridad, que se probaron para verificar que no causaran problemas en las seis versiones de Internet Explorer que se debían modificar (…) como cada versión se provee en más de cincuenta lenguajes locales diferentes, en total se probaron más de 300 ejecutables (…) además las actualizaciones debían instalarse automáticamente y funcionar sin importar cómo tenía configurado su Internet Explorer el cliente…”
Esto es un resumen adaptado de los mensajes que leí en varios blogs de empleados del área de seguridad de Microsoft, que sospecho no han dormido demasiado bien en las pasadas semanas. Hicieron buena letra, pusieron la cara y sudaron la camiseta.
Lástima que estos no son los que escriben (¿perpetran?) el código original de Internet Explorer. Pero bueno, algo está cambiando en Dinamarca…