Todos lo sabemos. Está por todos lados. No hay necesidad de explayarnos demasiado porque cada medio informativo (sea de IT o no) ya ha publicado en los últimos días sobre las 2 grandes noticias en el mundo de Microsoft y la seguridad.
Tema 1 – Microsoft confirmó una vulnerabilidad de 17 años de edad:
La empresa de Redmond confirmó el día 20 de Enero que existe una vulnerabilidad en su Kernel de sistema operativo, vigente desde el Windows NT 3.51, que data del año 1993. Aunque la vulnerabilidad en sí no es grave, sí lo es el hecho de que haya estado presente por casi 2 décadas.
Microsoft ya nos mostró su lado oscuro con respecto a estos temas hace poco tiempo, con el tema del potencial Blue Screen a Vista y 7 debido a una falla en el protocolo SMB v2. Sin embargo, la ambición de la empresa es incondicional, esta gente trata constantemente de superar a todo el mundo, inclusive a ellos, trayéndonos ahora una primicia peor. No sólo porque esta vulnerabilidad es más vieja, sino porque aparentemente (citation needed) Microsoft sabía de esto desde Junio 2009.
Somos todos humanos, correcto. Pero 17 años sin descubrir una vulnerabilidad y no hacer nada cuando alguien de afuera te la hace conocer, es simplemente inaudito.
Más Información: ZDNet (Inglés)
Tema 2 – Operación Aurora, Hydraq, Google Hack, China Hack, IE Hack y 1000 nombres más:
Un grupo de hackers chinos se meten en Google y causan daños inmesurables de magnitud histórica. Google está como loco, queriendo retirar su subsidiaria en el país; mientras tanto, otras grandes firmas empiezan a caer en el mismo ataque (Adobe, Juniper y otras).
Resultó ser una vulnerabilidad 0-day en Internet Explorer la que permitió a los chinos generar el ataque. El mundo entra en pánico porque la exposición es inevitable, salen por todos lados notificaciones masivas diciendo que no usen IE temporalmente, o que suban la configuración de seguridad a “alta”, sabiendo (o quizás inocentemente sin saber) que lograr eso en un usuario común es prácticamente imposible.
Microsoft se arremanga la camisa y promete sacar un parche out-of-band de emergencia ASAP. Y lo logra, liberando el boletín MS10-002, el 21 de Enero. Todo vuelve a la normalidad, el nivel DEFCON se baja nuevamente y todos los administradores estamos como locos parcheando equipos.
En resumen, se podría decir que es un empate para Microsoft. Aunque una acción buena no tapa una mala, debo decir que cuando las papas quemaban, los chicos de MS se portaron muy bien.
Para leer los detalles del acontecimiento, sigan los links de abajo. La realidad es que no le ví el sentido a repetir lo mismo que miles de otros sitios ya notificaron. Solamente me remití a dar mi opinión al respecto.
Más Información: ZDNet (Inglés) – Blog de Cristian Linacre (Español) – Blog de ESET Latinoamérica (Español)
http://blogs.zdnet.com/security/?p=5307&utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+zdnet%2Fsecurity+%28ZDNet+Zero+Day%29
.