Microsoft cubre por primera vez un fallo en uno de sus productos de seguridad
Microsoft cubría el martes con su boletín mensual de seguridad correspondiente a febrero diversos agujeros críticos en Office y en el motor de escaneo utilizado por las soluciones de seguridad de la compañía. El parche para éste último es el primero que el fabricante desarrolla para sus productos de seguridad desde que pusiera en marcha su servicio de boletines de actualización mensuales.
La vulnerabilidad en el software de seguridad resultaba especialmente preocupante, dado que, según los expertos permitía fácilmente a los atacantes correr software no autorizado sobre el ordenador de los PCs de las víctimas. Este agujero estaba relacionado con la forma en que el software Malware Protection Engine de Microsoft, utilizado por Windows Live One Care y Windows Defender, procesa los archivos PDF. Windows Defender está disponible gratuitamente y se suministra con el sistema operativo Vista.
“Un hacker podía explotar la vulnerabilidad creando un archivo PDF específicamente manipulado que permitiría la ejecución de código en remoto cuando fuera recibido por el sistema informático tomado como blanco y escaneado por Microsoft Malware Protection Engine”, informaba el fabricante en su boletín.
El motor vulnerable es asimismo utilizado por los productos Antigen y Windows Forefront Security de la compañía, lo que implica que los servidores Exchange que corren estos productos pueden quedar también comprometidos.
Aunque aún no se ha tenido noticia de ningún ataque que explote este fallo, podría llegar a convertirse en un problema serio para los usuarios de Windows que corren los productos de seguridad de Microsoft, según ha advertido Amol Sarwate, director del laboratorio de vulnerabilidades de la firma Qualys. “Se trata de ataques muy difíciles de evitar, dado que los productos a los que afectan corren automáticamente en el segundo plano de los entornos”.
Symantec coincide con Qualys y ha calificado el fallo del motor de escaneo como la vulnerabilidad más crítica de las cubiertas el martes por Microsoft.
<b>Disponible desde enero</b>
De hecho, realmente Microsoft publicó el parche para este agujero el pasado 26 de enero, adelantándose a su boletín mensual, aunque no fue hasta el lanzamiento de éste el pasado martes cuando notificó a sus clientes su existencia, según Mark Griesi, director de programa de seguridad del grupo Trustworthy Computing de la compañía.
Griesi asegura que no existe ningún motivo especial por el que Microsoft decidiera no notificar a sus clientes la actualización. Pero el hecho de que se tratara del primer parche desarrollado para un producto de seguridad parece haber tenido que ver en ello. “Era una situación a la que nos enfrentábamos por primera vez: ¿debíamos comunicarlo de forma inmediata o esperar? En esta ocasión decidimos esperar. No volveremos a hacerlo”, ha explicado Griesi.
En total, Microsoft ha incluido en su último boletín doce actualizaciones “críticas”. Otras seis han sido clasificadas dentro de la categoría menos seria dentro de la escala del fabricante; esto es, como “importantes”. Entre los parches se encuentra una actualización para Word, que cubre seis agujeros en el software de procesamiento de textos, varios de los cuales han sido ya objeto de importantes ataques en los últimos meses. El boletín también incluye actualizaciones críticas para el control ActiveX HTML Help y para Microsoft Data Access Components, ambos utilizados por Windows, así como para Office e Internet Explorer.
