domingo, 11 de julio de 2010

Microsoft mantiene una política de ocultación sobre parches y vulnerabilidades en Windows 7

Microsoft cada vez se refugia mas en su propia oscuridad y se aleja de la transparencia y honestidad ante sus usuarios y clientes tal como demuestra la empresa de seguridad Core Security Technologies, que ha revelado públicamente que Microsoft mantiene una sucia política de silencio y ocultación de vulnerabilidades y también la de poner práctica la corrección de errores aplicando parches a sus productos silenciosamente, sin dar ninguna explicación a nadie, o emitir alertas de seguridad, o dar información abierta y transparente a los administradores de sistemas, que necesitan estos datos para mantener sus sistemas actualizados con las correcciones de seguridad.
Los dos parches en cuestión son MS10-024 y MS10-028. Estos dos parches contiene un total de tres "correcciones de errores realizadas en absoluto silencio por Microsoft" correcciones que por otra parte Microsoft descubrió internamente dentro de algunos de sus productos mas populares como windows 7 y no obstante ocultaron y silenciaron para no dar imagen de inseguridad con sus productos. El Core Security Technologies descubrió dos correcciones de errores muy graves con parches de una vulnerabilidad bien conocida como DoS (Denial of Service) pero la política de Microsoft en estos asuntos de windows 7, lejos de ser abierta y transparente, ha sido como la del Pentágono, callar, y ocultar información a los clientes, administradores, y especialmente a los expertos en seguridad de todo el mundo con el fin de que nadie divulgue nada dañoso sobre los tremendos errores descubiertos dentro de windows 7. Pero gracias a que algunos investigadores si son capaces de encontrar y denunciar esos graves errores que oculta Microsoft, se ha sabido que la gravedad de las actualizaciones de seguridad han sido subestimada por Microsoft. Mientras investigaba las correcciones emitidas por Microsoft en el boletín de seguridad MS10-024 publicado 13 de abril 2010 de Microsoft, Nicolás Economou, descubrió dos vulnerabilidades mas en el servicio SMTP de Windows y Microsoft Exchange. Estas vulnerabilidades han sido reparadas por los parches que se hacen referencia en MS10-024, pero -atentos al detalle- nunca fueron revelados en el boletín de seguridad de Microsoft y casualmente no tienen un identificador único asignado a la vulnerabilidad. Como resultado, esta información y su evaluación del riesgo derivado de la lectura de estos graves fallos, no llego nunca al conocimiento de los proveedores de seguridad, que dejaron pasar por alto escenarios de amenazas reales. Las vulnerabilidades ocultadas por Microsoft permiten a un atacante aprovechar dos vulnerabilidades previas no divulgadas y establecidas por el MS10-014 en respuestas a cualquier interrogación spoof DNS enviadas por el servicio SMTP de Windows normalmente. El DNS spoofing y los ataques de respuesta de envenenamiento de caché, son asuntos muy bien conocidos por los hackers, y especialmente por tener una variedad de consecuencias para la seguridad con un impacto más allá de Denegación de Servicio y la divulgación de información y como fue definido en MS10-024. Todos los que utilicéis paquetes vulnerables debéis considerar volver a revisar las prioridades de implementación de parches a la vista de la información adicional proporcionada en este documento MS10-024. Ahora sabemos, que durante mucho tiempo Microsoft no ha revelado las graves vulnerabilidades que ha descubierto, solo que por primera vez, hemos sorprendido a Microsoft con las manos en la masa ocultando todas las vulnerabilidades fijadas por parches que pueden romper gravemente la propia revisión de seguridad. En el ejemplo anterior, MS10-024 es un parche mucho más importante que el aviso de seguridad emitido por Microsoft.

LinkWithin

Related Posts Plugin for WordPress, Blogger...