Microsoft cubrirá un agujero de día cero la próxima semana
El boletín mensual de seguridad de Microsoft correspondiente a julio, que será emitido por la compañía la próxima semana, incluirá cuatro actualizaciones para cubrir cinco vulnerabilidades en Windows y Office, incluida la brecha de día cero hecha pública por un investigador de Google hace un mes.
Como era de esperar, dado que Microsoft suele alternar boletines con gran número de actualizaciones con boletines de poco contenido, el de la próxima semana será un boletín relativamente ligero, sobre todo, si se compara con el de junio, que incluyó 10 actualizaciones desarrolladas para parchear 34 vulnerabilidades.
Y aún hubiera sido más ligero si Tavis Ormandy, ingeniero de seguridad de Google, no hubiera obligado a la compañía a incluir el parche para una vulnerabilidad en el sistema Help and Support Center (Centro de Ayuda y Soporte) de Windows XP, al publicar el código de explotación para ésta brecha a principios de junio. Un fallo que, según ha informado la propia Microsoft, también afecta a Windows Server 2003.
Según Jerry Bryant, director de grupo en Microsoft Security Response Center, la compañía estaba en las fases preliminares de investigación sobre la vulnerabilidad cuando Ormandy hizo público su código de ataque el 9 de junio. Ormandy contactó con Microsoft para informarle del problema el 5 de junio y dos días después Microsoft le respondió que no discutiría sobre la fecha de emisión del parche hasta finales de esa semana.
“Nuestra intención era resolver la vulnerabilidad en el boletín de agosto, pero hemos acelerado los esfuerzos dado que los clientes estaban el peligro por la existencia de ataques activos”, señala Bryant. Y es que los hackers rápidamente empezaron a aprovechar la brecha lanzando ataques sólo cinco días después de que Ormandy hiciera código su exploit.
Microsoft aseguró la semana pasada haber detectado exploits contra esta vulnerabilidad lanzados contra más de 10.000 ordenadores desde el 15 de junio.
