Microsoft responde a los informes sobre nuevas vulnerabilidades en Office
Microsoft está investigando diversos informes publicados en diversos sitios Web de seguridad sobre tres nuevas brechas potencialmente serias que supuestamente afectan a su programa Office, y ha criticado la forma en que las vulnerabilidades se han dado a conocer.
Microsoft ha subrayado en un comunicado que ninguna de las tres vulnerabilidades, que supuestamente afectan a Word 2007, ha demostrado ninguna vulnerabilidad ni en éste ni en ningún otro producto Office 2007. Además, asegura no haber recibido notificación alguna sobre las presuntas brechas antes de que fueran dadas públicamente a conocer, lo que generalmente no es visto con buenos ojos por la industria de la seguridad. Al menos dos de los sitios Web donde se informó sobre ellas ha publicado en otras ocasiones código de explotación antes de notificarlo a los suministradores de los productos a los que afectaba, según Graham Cluley, consultor senior de tecnología de Sophos.
La información sobre los nuevos agujeros apareció en varios foros de seguridad el pasado lunes y fue al día siguiente reportada a Microsoft por diversas organizaciones, incluida Avert Labs de McAfee. De esta manera, se hicieron públicas justo después de que Microsoft lanzara el martes su actualización mensual de seguridad, en la que se han incluido parches para corregir fallos críticos en Windows XP, Vista y otras aplicaciones
“Una vez más los fallos de día cero se publican coincidiendo más o menos con la actualización Patch Tuesday de Microsoft, probablemente para maximizar el tiempo de exposición pública”, según Karthink Raman, investigador de McAfee. Y es que supuestamente transcurrirá un mes hasta el próximo lanzamiento de parches oficiales por Microsoft, a menos que la compañía decida saltarse su calendario oficial de actualizaciones regulares como ha hecho ya en algunas ocasiones.
Su publicación se ha producido, además, en un momento de trabajo especialmente intenso para los expertos en seguridad del fabricante. La compañía todavía se esfuerza por paliar los efectos colaterales del parche para la vulnerabilidad relacionada con la forma en que Windows maneja cursores animados (ANI), lanzado antes de su boletín del martes por motivos de urgencia y que ha ocasionado problemas de compatibilidad con otras aplicaciones a algunos usuarios. El fallo está siendo todavía explotado por miles de sitios Web.
