• Tweet

Microsoft introducirá un servicio de boletines de seguridad el martes que confirmará reportes en fallas y proporcionará una solución temporal hasta que una actualización sea liberada.

El programa piloto de Microsoft Security Advisories se esforzará para emitir una alerta dentro del rango de un día hábil para que la compañía este consciente de un problema y ofrezca formas para mitigarlo, de acuerdo con lo declarado con un representativo de Microsoft.

"Nuestros boletines nos permitirán comunicar sobre más cosas que solo seguridad", de acuerdo con Stephen Toulouse, director del programa de seguridad en el centro de respuesta de seguridad de Microsoft.

Esta acción proviene de un debate continuo de cómo y cuándo la información sobre vulnerabilidades debería ser revelada. La industria de software ha estado pidiendo una revelación de información "responsable", en la cual los investigadores de seguridad esperen hasta que los fabricantes hayan creado una actualización para un hueco de seguridad antes de hacer público el problema. Pero algunos descubridores de fallas han mantenido una revelación "completa", en la cual revelan una vulnerabilidad tan pronto como ellos la descubren. Si una falla es hecha pública, argumentan que los fabricantes de software no deben tener problema para solucionarla.

En abril, la compañía de seguridad Secunia envió una advertencia sobre una vulnerabilidad "altamente crítica" que afecta a programas de Office y Access de Microsoft que no ha sido solucionada por el fabricante de software. La advertencia hizo notar que un código de exploit para la falla ya ha sido hecho público en el Web.

El nuevo programa de Microsoft incluirá alertas que no necesariamente se relacionan con una falla, sino a problemas que podrían representar un riesgo de seguridad. Por ejemplo, los ataques de fraude del tipo phishing que confían en la ingeniería social para lograr que los usuarios revelen información confidencial podrían no ser considerados como una vulnerabilidad de software, pero Microsoft podría emitir una advertencia sobre el problema, de acuerdo con el representativo de la compañía.

Además, los boletines notificarán a la gente sobre códigos de exploit que hayan sido hechos públicos ó códigos "pruebas de concepto" que podrían estar relacionados con actualizaciones liberadas o vulnerabilidades.

Cada alerta tendrá su número de seguimiento que permitirá a la gente seguir cualquier cambio en la advertencia. Un boletín podría convertirse formalmente en un Boletín de Seguridad, en el cual una actualización será liberada. Microsoft tiene un ciclo mensual de actualizaciones de seguridad.

Los boletines, sin embargo, no clasificarán la severidad del problema de seguridad, de acuerdo con Toulouse. El hizo notar que podría ser difícil tener un sistema "todo en uno" que pudiera no solo clasificar la severidad de la falla y también un hoax o ataque phishing.

Thomas Kristensen, jefe oficial de tecnología en Secunia, aplaudio el movimiento de Microsoft. "Estamos definitivamente de acuerdo con esto. En muchas formas, esto hará las cosas más fáciles para nosotros".

Los equipos de los usuarios podrían cuestionar la alerta sobre una falla desde una compañía de seguridad si el fabricante de software no reconoce el problema.

Microsoft es uno de los pocos distribuidores de software y soluciones temporales para vulnerabilidades, dijo Kristensen. Hizo notar que los distribuidores de software libre, sin embargo, usualmente proporcionan alertas y listan soluciones temporales potenciales.