Siete parches, seis de ellos críticos, el último Patch Tuesday de Microsoft

De los siete boletines, seis de ellos reciben la calificación de críticos y el resto de importantes y afectan a Windows, Internet Explorer, Microsoft Office, Silverlight y los principales programas de la multinacional. El último de los boletines corrige un error de elevación de privilegios del software de seguridad Windows Defender, por lo que tampoco conviene ignorarlo.

La importancia de este Patch Tuesday es subrayada por Tyler Reguly, responsable técnico de investigación y desarrollo en seguridad de Tripwire, que asegura que incluso es difícil priorizar entre los siete parches, porque casi todos son críticos. “Afortunadamente, hay seguridad en lo conocido, así que los clientes deben parchear primero Internet Explorer, un asunto recurrente casi todos los meses en los parches de Microsoft”, sostiene.

Se refiere al MS13-055, el muy popular parche acumulativo para el navegador Internet Explorer. Reguly cree que el siguiente debería ser MS13-053, ya que corrige una vulnerabilidad que se está explotando a gran escala.

El CTO de Qualys, Wolfgang Kandek , respalda esta opinión, aunque insiste en una entrada de blog en la primera de estas vulnerabilidades, porque “es el ángulo de ataque más probable, a través de los usuarios finales que navegan por una página web infectada o que abren un documento que lo está, lo que permite la ejecución remota de código y tomar el control de la máquina afectada”.

Los desarrolladores, incluida la propia Microsoft, dispondrán de sólo 180 días para hacer frente a las vulnerabilidades críticas.

Purga a las tiendas de apps

Microsoft también ha anunciado la retirada de su tienda Windows de las apps que considere presentan vulnerabilidades graves. Y dará un plazo de 180 días para que las aplicaciones sean parcheadas o eliminadas de sus “establecimientos” online. Incluso, advierten sus directivos, si una app insegura está siendo alterado en su naturaleza, corre el riesgo de ser retirada antes de este plazo. La decisión afecta también a las aplicaciones que se encuentren en sus tiendas Windows Phone, Office Store y Azure Marketplace.

Esta es la principal novedad para los expertos, ya que supone además una cuenta atrás para cerrar vulnerabilidades. Craig Young, investigador de seguridad de Tripwire, explica que "con la nueva política, cualquier aplicación de cualquiera de las cuatro tiendas de Microsoft tendrá 180 días para resolver los errores reportados de ejecución de código. Esta política se aplica tanto a desarrolladores externos como a la propia Microsoft y es una gran aportación a la actual política de escaneo y revisión de aplicaciones propuestas", asegura.

Esta nueva política es muy relevante para las empresas que dependen de las plataformas y dispositivos de Microsoft. “Seis meses es demasiado tiempo para que una vulnerabilidad se mantenga, sobre todo cuando hablamos de fallos críticos o importantes que pueden ser explotados para ejecutar código malicioso de forma remota ", subraya Young.

Microsoft describe los fallos encontrados en su propio software el segundo martes de cada mes, publicando una lista de vulnerabilidades y sus respectivos parches. Pero, con el lanzamiento de Windows 8 y Windows RT, la tienda Windows se ha convertido en un importante “lavadero” para la distribución de apps y la compañía va a redoblar sus controles.

“Queremos que nuestros clientes sepan que, si hay un problema, nosotros trabajaremos en una solución”, señala Dustin Childs, responsable del grupo de respuesta de Microsoft, Trustworthy Computing, en un post que destaca los siete parches anunciados por la compañía de Redmond.

Sin embargo, el mismo directivo admite que  “hay ciertas cosas que pueden afectar a la actividad informática de un usuario y que yo no puedo controlar directamente. Por ejemplo, no podemos actualizar directamente apps de terceros que instale el usuario desde la tienda Windows, cuando éstas tengan un problema. Pero, sí podemos influir cuando sean actualizadas”, admite.

Esta es una información de Tony Bradley (PCWorld) y Mark Hachman (PCWorld)