Siento tener que emplear este tono, pero al igual que cuando lo hacen bien los felicito, cuando lo hacen mal lo digo igualmente.
El parche oficial para el problema de WMF del que llevo hablando unos días saldrá finalmente el 10 de enero. Yo he visto despropósitos, pero este es de marca mayor. Se me hace difícil encontrar adjetivos adecuados para tratar de calificar esta política de actualización. Es absolutamente temerario retrasar la salida de un parche corrector una semana más. Repito, absolutamente temerario. Estamos hablando de una vulnerabilidad extremadamente crítica, con un parque de máquinas vulnerables que podría ser de cientos de millones, y siendo los efectos de la explotación devastadores. Si hubiera que puntuar esto de 0 a 10, siendo creciente la gravedad del asunto, sin duda alguna hablamos de un 10.
Lo único que han hecho ha sido actualizar (van dos) el boletín 912840 de Technet. Está muy bien el boletín para una lectura antes de irnos a domir o para acompañar el bocata de mediodía, pero NO INCLUYE SOLUCIONES ÚTILES. La única solución útil para este problema es disponer de un parche oficial, propio del fabricante, y ese no lo vamos a tener hasta el 10 de enero. El boletín, a efectos prácticos, no sirve de nada.
El porqué de este retraso es sin duda una incógnita. El 10 de enero es el segundo martes de mes, y recordemos que la política de parches se basa ahora en ofrecerlos juntos todos los segundos martes de mes. ¿Es por respetar esa norma quizás? Si es así, es un error, un craso error. En 7 días la cantidad de máquinas infectadas por culpa de este fallo que lleva 16 años escondido debajo de la alfombra va a ser monstuosa. Sí, cuesta creerlo, pero en 1990, fecha de la publicación de Windows 3.0, ya había posibilidad de explotar el problema.
16 años después la debacle, que otro nombre no tiene esto, está servida. Suerte que en esta web 2.0 todavía circula información en blogs y demás servicios a los que el usuario puede acceder y documentarse sin tener que referirse a las fuentes clásicas de toda la vida. Suerte que hay gente que todavía asume la responsabilidad de tapar un agujero que no tendrían por que tapar, o que mejoran el trabajo de éstos.
No creo que escriba más sobre este asunto. Está todo visto para sentencia. Os recomiendo muy encarecidamente que leáis y transmitáis a vuestros conocidos los siguientes enlaces informativos, donde sí se dan soluciones a este problema, y no milongas y verborrea como en el boletín oficial.
FAQ sobre el exploit WMF en español
http://handlers.sans.org/dwesemann/faq_es.html
Parche no oficial corrector en formato instalador MSI
http://handlers.sans.org/tliston/WMFHotfix-1.1.14.msi
http://accentconsulting.com/wmf.shtml
Parche no oficial de Ilfak Guilfanov
http://www.grc.com/miscfiles/wmffix_hexblog14.exe
http://handlers.sans.org/tliston/wmffix_hexblog14.exe
http://castlecops.com/modules.php?name=Downloads&d_op=getit&lid=496
http://csc.sunbelt-software.com/wmf/wmffix_hexblog14.exe
http://www.antisource.com/download/wmffix_hexblog14.exe
Herramienta de comprobación de vulnerabilidad
http://csc.sunbelt-software.com/wmf/wmf_checker_hexblog.exe
http://castlecops.com/modules.php?name=Downloads&d_op=getit&lid=495
http://www.antisource.com/download/wmf_checker_hexblog.exe
Cómo distribuir el parche mediante scripts en entornos corporativos
http://isc.sans.org/diary.php?storyid=1008
Web de Ilfak Guilfanov con las últimas novedades sobre el parche y la utilidad de verificación
http://www.hexblog.com
ISC de SANS. Últimas noticias sobre la vulnerabilidad WMF
http://isc.sans.org/index.php
Foro de discusión sobre WMF
http://castlecops.com/f212-hexblog.html
Mientras unos escriben boletines absurdos, otros distribuyen Kits de WMF, o se dedican a enviar spam con exploits. Lamentable. Sí, un boletín absurdo, una tomadura de pelo donde podemos leer cosas como por ejemplo estas perlas:
"Although the issue is serious and malicious attacks are being attempted, Microsoft's intelligence sources indicate that the scope of the attacks are not widespread."
"Customers who follow safe browsing best practices are not likely to be compromised by any exploitation of the WMF vulnerability. Users should take care not to visit unfamiliar or un-trusted Web sites that could potentially host the malicious code."
Es decir, con el simple hecho de navegar por sitios confiables ya está el problema superado. Como dice Tom Liston en portada del SANS, claro, nadie podría poner un fichero gráfico malicioso en un lugar en el que confiemos. Estas cosas no ocurren, señores. Y claro, las "fuentes de inteligencia" que van a demorar la salida del parche 7 días tienen claro que el ataque no está diseminado. Nada, paparruchas. Somos sólo cuatro gatos paranoicos que queremos ver la paja en el ojo ajeno. Saquemos las castañuelas y bailemos unas sevillanas para festejar que está todo bajo control.
Quien tenga todavía un poco de interés en la seguridad de sus activos domésticos o empresariales, queda invitado a leer y distribuir el contenido de estos enlaces. Que cada palo aguante su vela, es a lo que nos condena la resolución en 7 días de este escabroso asunto.
No entiendo… 16 años que está este riesgo latente. Nadie en Microsoft pudo imaginar que se podía usar el WMF para algo malicioso, siendo que hoy parece que hubiera mas programadores de spyware/virus/malware que programadores “normales” ? Fue a propósito que Microsoft esperó que explotara la bomba ?
Comentario Autor: juan — 4 Enero 2006 @ 2:31 am
No sé por qué os preocupáis tanto, cuando la solución es bien sencilla: dejad ya, de una vez por todas, de usar productos de Microsoft. Son caros, son defectuosos, son de baja calidad, son peligrosos, son inseguros.
Comentario Autor: noone — 4 Enero 2006 @ 12:18 pm
[...] El otro día comentaba que retrasar el parche era una absoluta temeridad. Dejar una semana más el mundo Windows patas arriba era algo totalmente reprobable e innecesario, además de temerario. [...]
Pingback Autor: Sergio Hernando » Archivo del Blog » Microsoft publica el parche WMF — 6 Enero 2006 @ 1:37 am
[...] En el caso del software privativo, en el que el código fuente es secreto, este no es auditado tan ampliamente y por tanto, tiene más fallos ocultos. Una vez que uno de ellos es descubierto, dependes totalmente de que la empresa lo solucione. Si recordamos la vulnerabilidad WMF de Microsoft Windows vemos que hay casos en los que el fabricante no es diligente y no parchea a tiempo aún cuando existia un parche no oficial desarrollado mediante ingenierÃa inversa. En este caso, el fabricante acabó adelantando el lanzamiento del parche ante la presión externa. Casos como estos, hacen que este tipo de software sea un objetivo relativamente facil para un atacante externo. [...]
Pingback Autor: nexus :: Porqué usar software libre en la administración pública :: February :: 2006 — 5 Febrero 2006 @ 3:41 pm
[...] Microsoft no se comportó de forma diligente y no publico parches aún cuando existÃa un parche no oficial desarrollado mediante ingenierÃa inversa. Microsoft acabó adelantando el lanzamiento del parche ante la presión externa. Pero durante unos dÃas Windows estuvo expuesto auna vulnerabilidad que permitÃa que con solo visitar una web te infectaras (como pasó en foros de AMD) Si queréis más información: http://www.sahw.com/wp/archivos/2006/01/03/microsoft-toca-fondo/ http://www.sahw.com/wp/archivos/2006/01/01/parche-no-oficial-sobre-wmf-ultimas-consideraciones/ http://www.sahw.com/wp/archivos/2006/01/06/microsoft-publica-el-parche-wmf/ [...]
Pingback Autor: Entrada « Consejos. Buenas Prácticas para la Internet. » en la bitácora El Demonio Negro — 24 Febrero 2006 @ 6:44 pm
[...] Este es un intento más de seguridad a través de oscuridad, o lo que es lo mismo, ocultar los fallos de un sistema en vez de corregirlos. En muchos casos se dice que publicar los fallos pone en peligro a los usuarios, o que el acceso libre al código fuente permite encontrar fallos mucho más facilmente. Este argumento cae cuando vemos que en el software libre las correcciones están disponibles más rápidamente que en el software privativo ya que, al tener acceso al código, cualquiera puede reparar el fallo y mandar la corrección al autor. En cambio, en el software privativo,tanto con la seguridad como con otros fallos, aparte de que hay que esperar, puedes tener mala suerte de que el fabricante oculte los fallos. [...]
Pingback Autor: nexus :: (In)Seguridad por oscuridad :: March :: 2006 — 2 Marzo 2006 @ 6:36 pm
[...] Viendo la que lió Microsoft con el tema del WMF (parche no oficial de por medio), no sé ni como me sorprendo de que, al igual que con el WMF, haya empresas o personas ajenas a Microsoft que saquen parches para IE semanas antes que Microsoft. [...]
Pingback Autor: nexus :: Acostumbrandome a las cosas de Microsoft :: March :: 2006 — 29 Marzo 2006 @ 4:21 pm
[...] que con solo visitar una web te infectaras (como pasó en foros de AMD) Si quereís más información: Sergio Hernando » Microsoft toca fondo Sergio Hernando » Parche no oficial sobre WMF. Últimas consideraciones Sergio Hernando » Microsoft [...]
Pingback Autor: Intentando cambiar el mundo - Intermaniacos — 1 Julio 2007 @ 6:29 pm