Se publica una vulnerabilidad en Internet Explorer 8 conocida desde octubre

Los agujeros de seguridad descubiertos en aplicaciones utilizadas por millones de personas suelen ser una fuente de noticias constante y no hay mes en el que no hablemos de alguno de ellos. Entre estas vulnerabilidades, las existentes en navegadores son de las que más preocupan, puesto que son nuestra herramienta principal para navegar por Internet y no son pocos los delincuentes al acecho del mínimo descuido que cometamos para tratar de infectarnos.

En esta ocasión, el protagonista es Internet Explorer 8, para el que se ha publicado recientemente una vulnerabilidad para la cual aún no existe parche y que podría permitir a un atacante ejecutar código arbitrario en el sistema, obteniendo los mismos privilegios que el usuario que esté usando el ordenador, usuario que, la mayoría de las veces, dispone de permisos de administrador, con todos los riesgos que eso conlleva.

microsoft-white-635

En esta ocasión, preocupa sobremanera que el descubrimiento de esta vulnerabilidad se produjera el pasado mes de octubre y Microsoft fuera debidamente informada. No obstante, la empresa no contestó hasta 4 meses después, en febrero, pero solo confirmó que el agujero de seguridad existía, sin publicar una solución ni ofrecer mayores detalles al respecto.

Es por eso que esta vulnerabilidad se ha hecho pública siguiendo las reglas establecidas por Zero Day Initiative, un programa pensado para recompensar a los investigadores que reporten fallos de seguridad y además presionar a las empresas para que los solucionen, publicando los detalles sobre un fallo de seguridad 180 días después de haber informado por primera vez a la empresa responsable de la aplicación vulnerable.

Este plazo de gracia vencía esta semana y, por tanto, al no haber obtenido una respuesta de Microsoft sobre cómo iba a solucionar este agujero de seguridad, se hizo público para hacer presión a la compañía y conseguir que se acelere la publicación de un parche de seguridad. Microsoft ya ha confirmado estar trabajando en una solución para este fallo pero aún no ha ofrecido detalles acerca de cuando será publicado.

Si bien el alcance de esta vulnerabilidad es más limitado que en ocasiones recientes donde eran todas las versiones activas de Internet Explorer las que se veían afectadas, no hay que confiarse ya que Internet Explorer 8 aun dispone de una importante cuota de instalación, y hasta que Microsoft publique un parche es recomendable actualizar a una versión más moderna del navegador o, en caso de no poder hacerlo, instalar y configurar la herramienta EMET de Microsoft, que hace más difícil de explotar los agujeros de seguridad en programas.

eset_nod32_ie8_vuln

Esta vulnerabilidad afectaría en principio a usuarios domésticos, ya que en sistemas servidores Windows la configuración predeterminada por defecto evita que se exploten fallos de seguridad como este.

Cada vez que se produce una situación similar a la que analizamos hoy suele surgir el debate sobre lo conveniente que resulta publicar detalles acerca de una vulnerabilidad que puede afectar a millones de usuarios si es aprovechada por ciberdelincuentes. Esa posibilidad existe y algunos pueden tildar de irresponsable proporcionar las herramientas para que se pueda infectar nuestro sistema.

Sin embargo, hay que tener en cuenta varios puntos antes de criticar este tipo de iniciativas. Analicémoslos a continuación:

  • El investigador ha dedicado horas de esfuerzo para conseguir descubrir esta vulnerabilidad, por lo cual es justo que se le recompense de forma legal. En caso de no hacerlo podría abandonar este tipo de investigaciones o, peor aún, venderlo al mejor postor en foros de cibercriminales que lo usarían en beneficio propio bastante tiempo antes de que este fallo se hiciese público.
  • Servicios como Vulnex proporcionan a los fabricantes un tiempo prudencial (6 meses) para que solucionen los fallos descubiertos antes de hacerlos públicos. Entendemos que no siempre es posible solucionar todos los fallos en este plazo pero, en caso de no llegar a tiempo, el fabricante podría informar a sus usuarios y recomendar medidas de mitigación ante estos fallos.
  • La “seguridad por oscuridad” hace tiempo que se ha dejado de considerar efectiva. Que no se hable de un fallo de seguridad no significa que este no exista. Es vital mejorar la comunicación entre fabricantes e investigadores y actuar con rapidez a la hora de solucionar vulnerabilidades. Lo ideal sería que en los desarrollos de aplicaciones se tuviesen en cuenta aspectos sobre su seguridad que, a día de hoy, se pasan por alto en favor de la usabilidad o por terminar el desarrollo en un plazo determinado.

Por eso, estas iniciativas son interesantes ya que se persigue mejorar la seguridad de nuestros dispositivos y los sistemas que los gobiernan. Al fin y al cabo, confiamos en ellos para guardar mucha información privada que, de caer en malas manos, podría causarnos graves problemas.

Josep Albors

Actualizaciones en Chrome y Safari corrigen varias vulnerabilidades