Como ya hemos comentado en varias ocasiones en una-al-día, Microsoft
decidió en octubre modificar su política de publicación de
actualizaciones, distribuyendo los parches de forma conjunta una vez al
mes, en vez de hacerlo puntualmente de forma individual. Según esta
nueva estrategia, los parches se publicarán el segundo martes de cada
mes.
Microsoft ha mantenido hasta el último momento el 9 de
diciembre como fecha prevista para las nuevas actualizaciones,
incluyendo la planificación de un webcast para explicar detalles sobre
las vulnerabilidades y aplicación de las correcciones. Cuando todos
esperábamos la publicación de los parches, en su lugar, el mismo 9 de
diciembre, Microsoft anuncia que no dispone de ningún parche para su
distribución.
No dejaría de ser un hecho insólito la no
publicación de parches durante este mes, no en vano, durante los cinco
últimos años no ha existido un solo mes, sin excepción, en que Microsoft
no haya distribuido parches de seguridad.
¿Podría ser un
indicador de que la seguridad de Microsoft ha mejorado?, tal vez no
tenga pendiente problemas críticos que corregir. Sin embargo la realidad
es bien distinta, ya que existen vulnerabilidades reconocidas en su
software, cuyos detalles se han hecho públicos en Internet y están
siendo explotados.
Sin ir más lejos, existen múltiples
vulnerabilidades que afectan a Internet Explorer, algunas de las cuales
son consideradas críticas al permitir la ejecución de código de forma
remota, de las que dimos buena cuenta en Hispasec ( http://www.hispasec.com/unaaldia/1862 ).
Microsoft asegura
estar investigando estas vulnerabilidades y trabajando en los
correspondientes parches, si bien todo indica que no ha podido terminar
el ciclo de desarrollo y control de calidad para su publicación final en
la fecha prevista.
Dada la complejidad y dependencia del software
de Microsoft, no se puede criticar en esta caso concreto el tiempo
transcurrido en la resolución, si bien plantea una duda: ¿esperará
Microsoft al segundo martes de enero para distribuir estos parches
críticos?, o bien, tal y como recoge su política de actualizaciones,
¿los publicará antes, en cuanto estén disponibles, ya que se considera
urgente la corrección de estos problemas?
La duda quedará
resuelta en cuestión de semanas, desde Hispasec confiamos en poder
informarles a la mayor brevedad de la disponibilidad de los parches.
LinkedIn comparte una lista con las cinco tendencia que definirán la senda del mercado laboral…
Proopoint cree que el año que viene los delincuentes manipularán datos privados asociados a la…
Las implantación de nuevas herramientas, la optimización de productos ya existentes y la adopción de…
La mayoría renovaría por completo su infraestructura de seguridad para adoptar soluciones totalmente integradas.
Entrevistamosa Sergio Rodríguez, CTO de PUE DATA, para hablar del "boom" de los espacios de…
Los mensajes RCS ofrecen muchas más posibilidades que los SMS, pero también abren la puerta…