Llegamos a ustedes gracias a:



Noticias

En lugar de parches, Microsoft bloquea los códigos con bugs

[11/12/2009] Microsoft ha decidido desactivar un video codec -ya con 17 años de existencia- en las versiones más antiguas de Windows en lugar de parchar sus múltiples vulnerabilidades, de acuerdo al equipo de seguridad de la empresa.

El martes pasado, el mismo día que presentó seis actualizaciones que parcharon 12 bugs, Microsoft publicó un mensaje de seguridad que indica su rara decisión, de bloquear el codec Indeo -software que comprime y descomprime datos de video- para que no pueda ser utilizado ni por Internet Explorer (IE), ni por Windows Media Player. La actualización también impide que otras aplicaciones con acceso a Internet puedan descargar el codec.
No está claro, exactamente, cuántas vulnerabilidades sin parche contiene el codec Indeo, pero al menos dos empresas de seguridad -VeriSign iDefense y Fortinet emitieron sus propias alertas sobre el bug de Indeo el martes. La vulnerabilidad descubierta por iDefense fue reportada a Microsoft, hace más de un año.
La actualización apunta solo a las ediciones más antiguas del sistema operativo de Microsoft: Windows 2000, Windows XP y Windows Server 2003. Windows Vista, Windows 7 y Windows Server 2008 ya impiden la carga del codec Indeo. Intel introdujo el codec en 1992.

Al impedir que el codec se utilice en Internet Explorer y Windows Media Player, Microsoft señaló que se está protegiendo a los usuarios contra los vectores de ataque conocidos, que tratan de engañar a la gente para que visiten sitios maliciosos.
Es raro que Microsoft no parche las vulnerabilidades conocidas, sino que deshabilite -censure en la terminología de programación- bits de código. Este es un caso raro, ya que suele resultar complicado eliminar funcionalidad en los productos que los clientes están utilizando actualmente, sin afectar las aplicaciones existentes, así lo reconoció un portavoz de Microsoft, por correo electrónico, el jueves.

Corregir el codec no tiene mucho sentido, señaló Richie Lai, director de Investigación de Vulnerabilidades de la empresa de seguridad Qualys. Microsoft ya hizo estos cambios en Vista y Windows 7, e Indeo ya casi no se usa, señaló Laid. Veo esto más como un ataque superficial para reducir el problema."

Microsoft lo vio también de esa manera. En este caso, hemos creado cambios de defensa en profundidad que reducen la superficie de ataque, y eliminan la funcionalidad del codec; en lugar de abordar las vulnerabilidades de manera individual, para así proporcionar una protección más completa a un codec viejo y poco utilizado, indicó el portavoz de la compañía.
Las aplicaciones de disco, como los juegos que todavía se basan en el codec Indeo, funcionarán con normalidad, agregó Microsoft.

Esta no es la primera vez que Microsoft se ha negado a parchar vulnerabilidades. En septiembre pasado, Microsoft anunció que no era factible arreglar un defecto en la implementación TCP/IP de Windows 2000 Server SP4, debido a que se requería de una re-arquitectura de una proporción muy significativa del sistema operativo Windows 2000 SP 4, y ello significaba que no habría ninguna garantía de que las aplicaciones diseñadas para ejecutarse en Windows 2000 SP4 seguirían funcionando en el sistema actualizado.

Tal vez esta es una nueva tendencia, señaló Jason Miller, gerente del equipo de Seguridad y Datos, del proveedor de administración de parches Shavlik Technologies.

Creemos que este enfoque debería proporcionar más seguridad a los clientes, en lugar de hacer frente a casos individuales de vulnerabilidades, señaló el portavoz de Microsoft.

La actualización de bloqueo del codec, ha sido promocionada en usuarios de Windows 2000, XP y Server 2003, a través de los mecanismos de actualización automática de Windows Update.
Gregg Keizer, Computerworld (EE.UU.)