Blogia
navegaseguro

Nueva política de parches de Microsoft

Microsoft, en un nuevo intento de conseguir que los usuarios de software se habituen a descargar los parches de seguridad, dejará de distribuir éstos en el momento en que estén disponibles (puedes leer la noticia en Hispasec) pasando a distribuirlos en un único paquete mensual. En palabras de Amy Carroll, director de producto de la
unidad de negocio de seguridad de Microsoft


Este cambio facilitará a los usuarios la localización e instalación de las actualizaciones de seguridad.


Lo que queda muy bonito, sobre todo, después del verano tan movidito que nos han dado los fallos de seguridad en los productos de su empresa, pero no veo cómo va a facilitar ni la localización (siguen en el mismo sitio) ni la instalación (que seguirá siendo automática, visitando Windows Update).

Supongo que la idea es que la gente se acostumbre a pasar una vez al mes por Windows Update, pero no me explico porqué no siguen distribuyendo los parches individuales como hasta ahora, aunque después haya un recopilatorio mensual. Aún suponiendo que con esta nueva política de parches consigan que un mayor número de usuarios tenga su sistema actualizado, en la mayor parte de los casos ésto significará que los equipos continuarán desprotegidos un tiempo extra totalmente innecesario.

El primero de estos parches mensuales se empezó a distribuir ayer e incluye parches para cinco distintas vulnerabilidades calificadas como críticas y afectan a todas las versiones de Windows posteriores a la 98.

La más peligrosa de ellas, en mi opinión, por la facilidad de explotarla, permite borrar casi cualquier archivo del disco duro si se conoce su ubicación o, lo que es lo mismo, borrar cualquiera de los archivos esenciales del sistema operativo. Todo lo que hay que hacer es un sencillo enlace en una página web y esperar que un usuario de Internet Explorer haga click en él y el archivo elegido se borrará sin más. Si el usuario de Windows está usando cualquier otro navegador no ocurrirá nada en absoluto, la vulnerabilidad reside en la integración de IE con el Centro de Ayuda y Soporte de Microsoft y de ambos con el resto del sistema operativo. Al usar un navegador no integrado en el sistema operativo, un intento de aprovechar ésta vulnerabilidad no tendrá ningún efecto.

Es un buen ejemplo de porqué es peligroso integrar el navegador en el sistema operativo y de porqué ésto no debería haberse hecho nunca. Entonces primó el marketing (había que ganar mercado para su navegador) sobre la seguridad y me pregunto si ahora, con esta nueva política de parches, no estarán cayendo en lo mismo.

4 comentarios

D4 -

Sí, es una lástima que no haya vista previa, a ver si para la próxima versión de Blogia. O, al menos, un botón de editar junto al de eliminar para el administrador.

jcdenton -

Echo de menos poder editar los mensajes o una vista previa antes de postear :-(

D4 -

jcdenton, tocas un tema, el de la biodiversidad, en el que mucha gente está haciendo hincapié en este momento y yo mismo tengo previsto hablar sobre él proximamente.

No podemos estar más de acuerdo en lo que dices al comparar con la Edad Media. En el tema de los virus hay que recordar que si últimamente se dedican más a hacer la puñeta que a destruir verdaderamente, no es porque no sea posible, sino porque los creadores de virus encuentran más divertido que la máquina funcione mal a que deje de funcionar completamente.

El enlace que has dejado parece que no funciona, el que esté interesado en leerlo (es realmente recomendable) puede hacerlo en http://www.ciberpunk.com/basicos/neal_stephenson.html

jcdenton -

Windows es un código ya demasiado cruftoso[1], pero no en nucleo, sino las aplicaciones de siempre que lleva sobre él, IExplorer por ejemplo. Ni cambiando su política de parches van a solucionar nada pq para colmo de los colmos, el usuario es vago por naturaleza y no se molesta en actualizar hasta que ya es demasiado tarde.

Uno de los poblemas del mundo de la informática es la biodiversidad. Se puede aplicar a los ordenadores como cuando hace años nacieron los virus y se relacionaban precisamente con las formas de vida de la Tierra. Los virus informáticos se multiplicaran y parasitaran (en la mayoría de los casos) a los organismos vivos (máquinas) que conseguían infectar así como un virus afecta a un ser humano.

Desgraciadamente, al haber tan poca diversidad ecológica en el mundo de la informática y gracias a la compatibilidad-a-toda-costa, todo virus que afecte al kernel de Windows o a IExplorer se cepillará medio mundo hasta que haya vacuna disponible. El sistema operativo único en la informática es tan perjudicial como el pensamiento único en la política o el anillo único en la Tierra Media.

Y Microsoft no es que se gaste mucho en desarrollar su software... o demuestre seguir preocupándose por protegerlo a toda costa, que como ejemplo tenemos al MicrosoftOutlook o a IIS (InternetInformationServer)...

El día que solo haya un sistema operativo único y millones de usuarios sin preocupación alguna por la seguridad acabaremos en la edad media en cuanto un virus realmente peligroso hunda la economía mundial afectando a miles de millones de máquinas con Windows xD

Mi política cuando me piden que arregle algo o cuando me llamaron por le problema del último virus es:

Primero. Hablar de linux y/u otras alternativas.

Segundo. Asegurarme de que ha estado atento y si sigue queriendo arreglar su win o formatear, pues advertirle de que CON TODA SEGURIDAD volverá a encontrarse en una situación similiar en un futuro cercano :) y que para esa próxima vez que no se moleste en llamarme que estaré hasta los oo de que la gente no aprenda de sus errores :-D

un saludo de jc

--

[1] anticuado, un parche que soluciona poco: ver el gran ensayo "En el principio fue la linea de comandos..." de Stephen Neal, disponible en sindominio.net.