ZERT no pretende reemplazar a los parches oficiales. Según ellos, sólo ofrecen una alternativa en un momento de crisis. De hecho recomiendan que el suyo sea desinstalado cuando Microsoft publique el oficial. La idea es proporcionar una respuesta rápida y eficaz a un problema cuando no existe otra solución.
Y es que la vulnerabilidad basada en la funcionalidad VML (Vector Markup Language) del navegador Internet Explorer necesita soluciones porque está siendo aprovechada de forma masiva. Cada vez son más las páginas que (si son visitadas con permisos de administrador) intentan infectar a los sistemas con decenas de troyanos distintos. En el laboratorio de Hispasec, estamos comprobando y analizando las nuevas formas de aprovechar la vulnerabilidad, y sorprende la rapidez con la que el código es modificado y ofuscado para pasar desapercibido ante los programas antivirus. Con la ayuda de VirusTotal, estamos comprobando que son muy pocos los productos que son capaces de alertar del intento de explotación, e incluso éste es modificado constantemente. Esto indica una clara voluntad por parte de los atacantes de aprovechar al máximo el problema mientras no exista parche y sin que los antivirus entorpezcan su difusión.
Microsoft por su parte no termina de recomendar la aplicación de parches de terceros. También ha publicado una entrada en su blog en la que deja entrever que es posible que publique una solución fuera del ciclo habitual, aunque no reconoce que el problema esté siendo aprovechado de forma tan masiva.
Según ZERT, el grupo ha tardado 19 horas en crear su parche, comprobarlo y publicarlo. Microsoft dice que cuando la programación de su actualización llegue al nivel de calidad y compatibilidad al que aspiran, será puesto a disposición de todos. Según ellos han avanzado bastante en estos días y la publicación podría ocurrir antes del día 10 de octubre, porque prima la calidad y la protección de sus usuarios antes que un estricto cumplimiento del ciclo de actualización.
Si estas iniciativas no oficiales siguen proliferando, junto con la cada vez más habitual aparición de graves vulnerabilidades antes de la publicación de parches, es posible que Microsoft tenga que replantearse la eficacia de su ciclo actual de actualizaciones o, con el fin de agilizar su publicación, bajar el listón de "calidad" al que aspiran.
El último parche acumulativo para Internet Explorer introduce una nueva vulnerabilidad
http://www.hispasec.com
A quick entry on the VML issue
http://blogs.technet.com/msrc
ZERT y parche no oficial
http://isotf.org/zert/
Sergio de los Santos
www.hispasec.com
