Microsoft ha mantenido hasta último momento el 9 de diciembre como fecha prevista para las nuevas actualizaciones, incluyendo la planificación de un webcast para explicar detalles sobre las vulnerabilidades y aplicación de las correcciones. Cuando todos esperábamos la publicación de los parches, en su lugar, el mismo 9 de diciembre, Microsoft anuncia que no dispone de ningún parche para su distribución.
No dejaría de ser un hecho insólito la no publicación de parches durante este mes, no en vano, durante los 5 últimos años no ha existido un sólo mes, sin excepción, en que Microsoft no haya distribuido parches de seguridad.
¿Podría ser un indicador de que la seguridad de Microsoft ha mejorado?, tal vez no tenga pendiente problemas críticos que corregir. Sin embargo la realidad es bien distinta, ya que existen vulnerabilidades reconocidas en su software, cuyos detalles se han hecho públicos en Internet y están siendo explotados.
Sin ir más lejos, existen múltiples vulnerabilidades que afectan a Internet Explorer, algunas de las cuales son consideradas críticas al permitir la ejecución de código de forma remota, de las que se dió buena cuenta en Hispasec ( http://www.hispasec.com/unaaldia/1862).
Microsoft asegura estar investigando estas vulnerabilidades y trabajar en los correspondientes parches, si bien todo indica que no ha podido terminar el ciclo de desarrollo y control de calidad para su publicación final en la fecha prevista.
Dada la complejidad y dependencia del software de Microsoft, no se puede criticar en esta caso concreto el tiempo transcurrido en la resolución, si bien plantea una duda: ¿esperará Microsoft al segundo martes de enero para distribuir estos parches críticos?, o bien, tal y como recoge su política de actualizaciones, ¿los publicará antes, en cuanto estén disponibles, ya que se considera urgente la corrección de estos problemas?
La duda quedará resuelta en cuestión de semanas, desde Hispasec confían en poder informarles a la mayor brevedad de la disponibilidad de los parches.
Bernardo Quintero
bernardo@hispasec.com
Noticias Hispasec
