• Tweet

Esto se esta convirtiendo en algo familiar: Un hacker pública código de un exploit en un sitio Web de seguridad, Microsoft le sigue tan pronto como sea posible con un aviso a sus clientes.

Esto fue repetido nuevamente el jueves, sólo que esta vez Microsoft menciono que esta investigando “un nuevo reporte publico” de una vulnerabilidad crítica en Windows, una muestra del problema fue publicada hace más de dos meses, en la prueba de concepto se muestra como tomar ventaja de una falla publicada en un sitio Web.

La falla de la que Microsoft previene es acerca de un problema en un control ActiveX, denominado WebViewFolderIcon, usado por la interfaz gráfica de de Windows. Esta fue una de la fallas de seguridad publicadas por HD Moore para mostrar problemas de seguridad en varios navegadores.

Moore llamo a su proyecto “Month of Browser Bugs”, al final terminó por publicar 22 fallas que afectaban a Microsoft al final del mes.

Hace algunos días, Moore sin aviso agregó código del exploit para esta falla en su herramienta Metasploit. El exploit atrajo la atención de Microsoft después de que fue publicado en el sitio web de milw0rm, comentó Moore. Pero el investigador de seguridad piensa que cualquier hacker competente podría haber desarrollado un exploit basado en su nota publicada en julio.

Hasta ahora, Microsoft sólo ha corregidos dos fallas anunciadas por Moore. De hecho, los ingenieros de Microsoft no han investigado una tercera vulnerabilidad, comento Moore.

Ejecutivos de Microsoft no han podido ser contactados para que comenten algo, pero en el aviso de seguridad de la compañía se menciona que una actualización para resolver el problema en WebViewFolderIcon será publicada el próximo 10 de Octubre.

“Hemos estado en contacto con HD Moore y nuestra investigación ha revelado que mucho de los problemas relacionados con Internet Explorer en particular resultaran en un cerrado inesperado del navegador,” comento la agencia de relaciones publicas de Microsoft el jueves. “Debido a su naturaleza, muchos de los problemas serán resueltos con un Service Pack más que con una actualización de seguridad.”

Microsoft ha estado ocupado este mes, apresurando una actualización de emergencia publicada fuera del ciclo mensual, la cual corrige una falla en Internet Explorer debido a VML, este problema esta siendo utilizado mucho por sitios Web maliciosos.

A pesar de esto, Moore comenta que existen más de 70 fallas de seguridad que aún no han sido corregidas por Microsoft y que deberían de ser corregidas ya.

Al inicio de semana, Symantec comentó que Microsoft es muy lento para resolver problemas de seguridad en su navegador. Pero de acuerdo a los números de Symantec, las vulnerabilidades de IE, en promedio tardan 9 días en ser corregidas después de que la falla es publicada.