Microsoft encuentra 1.800 agujeros en Office
Los desarrolladores de Office han localizado más de 1.800 agujeros en Office 2010 sin solucionar tras ejecutar millones de pruebas de las denominadas “fuzzing”. Microsoft aclara que no todos los fallos comprometen la seguridad de la suite.
Según explica Tom Gallagher, del equipo Trustworthy Computing de Microsoft, estas pruebas fuzzing son una práctica que llevan a cabo tanto los desarrolladores de software como los investigadores de seguridad cuando buscan agujeros en las aplicaciones. Para ello, insertan datos en analizadores de formatos de archivos para ver dónde fallan los programas. Debido a que algunos errores pueden ser posteriormente atacados con éxito para romper el software, permitiendo a un atacante insertar código maligno en la aplicación, estas prácticas fuzzing son de gran interés tanto para los investigadores, ya sean criminales o con objetivos legítimos, a la hora de localizar vulnerabilidades de seguridad.
“Hemos localizado, y solucionado, 1.800 agujeros en el código de Office 2010", explica Gallagher, quien, tras reconocer que es “un gran número”, destaca que “lo importante es que no significa que hayamos encontrado 1.800 problemas de seguridad, puesto que también hemos solucionado aspectos que no conciernen a la seguridad de la aplicación”.
Gallagher declinó, en cualquier caso, cuantificar el número de agujeros localizados por estas técnicas que sí podrían ser considerados vulnerabilidades. Algunas de ellas ya han sido solucionadas en versiones anteriores de la suite ofimática puesto que la información obtenida con los análisis fuzzing del código de Office 2010 fue contrastada con el código de esas versiones anteriores (como Office 2007 y 2003) y parcheadas durante el desarrollo de Office 2010.
Así, los agujeros descubiertos en la última versión que no afectan a la seguridad pero que ya existían en versiones anteriores serán solucionados en los próximos Service Pack que prepara la compañía, asegura Gallagher.
Microsoft ha sido capaz de encontrar tal cantidad de agujeros utilizando no sólo máquinas de su laboratorio, si no también PC infrautilizados o sin trabajo dentro de la empresa. Un concepto que tampoco es nuevo. El proyecto Search for Extraterrestrial Intelligence fue el primero en popularizar esta práctica, que también se utiliza en investigaciones médicas o para localizar el mayor número primo.
Tal y como explica Gallagher, “lo llamamos una red botnet para fuzzing”, en referencia a lo que la propia Microsoft ha denominado Distributed Fuzzing Framework (DFF). Así, el software cliente instalado en las máquinas de la red de Microsoft automáticamente detecta cuándo un PC está sin trabajo, como los fines de semana, y lo aprovecha para realizar estos tests fuzzing. “Podemos hacer millones de operaciones de este calibre cada semana”, explica Gallagher, quien calcula que, en algunos casos, se superan los 12 millones de operaciones.
Aunque todo el equipo de desarrollo de Office utiliza esta red DFF, no todos los grupos dentro de Microsoft explotan sus posibilidades. En estos momentos, SharePoint, MSN y las búsquedas con Fast han probado este sistema, pero no los desarrolladores de Windows, por ejemplo.
