Siento tener que emplear este tono, pero al igual que cuando lo hacen bien los felicito, cuando lo hacen mal lo digo igualmente.
El parche oficial para el problema de WMF del que llevo hablando unos días saldrá finalmente el 10 de enero. Yo he visto despropósitos, pero este es de marca mayor. Se me hace difícil encontrar adjetivos adecuados para tratar de calificar esta política de actualización. Es absolutamente temerario retrasar la salida de un parche corrector una semana más. Repito, absolutamente temerario. Estamos hablando de una vulnerabilidad extremadamente crítica, con un parque de máquinas vulnerables que podría ser de cientos de millones, y siendo los efectos de la explotación devastadores. Si hubiera que puntuar esto de 0 a 10, siendo creciente la gravedad del asunto, sin duda alguna hablamos de un 10.
Lo único que han hecho ha sido actualizar (van dos) el boletín 912840 de Technet. Está muy bien el boletín para una lectura antes de irnos a domir o para acompañar el bocata de mediodía, pero NO INCLUYE SOLUCIONES ÚTILES. La única solución útil para este problema es disponer de un parche oficial, propio del fabricante, y ese no lo vamos a tener hasta el 10 de enero. El boletín, a efectos prácticos, no sirve de nada.
El porqué de este retraso es sin duda una incógnita. El 10 de enero es el segundo martes de mes, y recordemos que la política de parches se basa ahora en ofrecerlos juntos todos los segundos martes de mes. ¿Es por respetar esa norma quizás? Si es así, es un error, un craso error. En 7 días la cantidad de máquinas infectadas por culpa de este fallo que lleva 16 años escondido debajo de la alfombra va a ser monstuosa. Sí, cuesta creerlo, pero en 1990, fecha de la publicación de Windows 3.0, ya había posibilidad de explotar el problema.
16 años después la debacle, que otro nombre no tiene esto, está servida. Suerte que en esta web 2.0 todavía circula información en blogs y demás servicios a los que el usuario puede acceder y documentarse sin tener que referirse a las fuentes clásicas de toda la vida. Suerte que hay gente que todavía asume la responsabilidad de tapar un agujero que no tendrían por que tapar, o que mejoran el trabajo de éstos.
No creo que escriba más sobre este asunto. Está todo visto para sentencia. Os recomiendo muy encarecidamente que leáis y transmitáis a vuestros conocidos los siguientes enlaces informativos, donde sí se dan soluciones a este problema, y no milongas y verborrea como en el boletín oficial.
FAQ sobre el exploit WMF en español
http://handlers.sans.org/dwesemann/faq_es.html
Parche no oficial corrector en formato instalador MSI
http://handlers.sans.org/tliston/WMFHotfix-1.1.14.msi
http://accentconsulting.com/wmf.shtml
Parche no oficial de Ilfak Guilfanov
http://www.grc.com/miscfiles/wmffix_hexblog14.exe
http://handlers.sans.org/tliston/wmffix_hexblog14.exe
http://castlecops.com/modules.php?name=Downloads&d_op=getit&lid=496
http://csc.sunbelt-software.com/wmf/wmffix_hexblog14.exe
http://www.antisource.com/download/wmffix_hexblog14.exe
Herramienta de comprobación de vulnerabilidad
http://csc.sunbelt-software.com/wmf/wmf_checker_hexblog.exe
http://castlecops.com/modules.php?name=Downloads&d_op=getit&lid=495
http://www.antisource.com/download/wmf_checker_hexblog.exe
Cómo distribuir el parche mediante scripts en entornos corporativos
http://isc.sans.org/diary.php?storyid=1008
Web de Ilfak Guilfanov con las últimas novedades sobre el parche y la utilidad de verificación
http://www.hexblog.com
ISC de SANS. Últimas noticias sobre la vulnerabilidad WMF
http://isc.sans.org/index.php
Foro de discusión sobre WMF
http://castlecops.com/f212-hexblog.html
Mientras unos escriben boletines absurdos, otros distribuyen Kits de WMF, o se dedican a enviar spam con exploits. Lamentable. Sí, un boletín absurdo, una tomadura de pelo donde podemos leer cosas como por ejemplo estas perlas:
«Although the issue is serious and malicious attacks are being attempted, Microsoft’s intelligence sources indicate that the scope of the attacks are not widespread.«
«Customers who follow safe browsing best practices are not likely to be compromised by any exploitation of the WMF vulnerability. Users should take care not to visit unfamiliar or un-trusted Web sites that could potentially host the malicious code.»
Es decir, con el simple hecho de navegar por sitios confiables ya está el problema superado. Como dice Tom Liston en portada del SANS, claro, nadie podría poner un fichero gráfico malicioso en un lugar en el que confiemos. Estas cosas no ocurren, señores. Y claro, las «fuentes de inteligencia» que van a demorar la salida del parche 7 días tienen claro que el ataque no está diseminado. Nada, paparruchas. Somos sólo cuatro gatos paranoicos que queremos ver la paja en el ojo ajeno. Saquemos las castañuelas y bailemos unas sevillanas para festejar que está todo bajo control.
Quien tenga todavía un poco de interés en la seguridad de sus activos domésticos o empresariales, queda invitado a leer y distribuir el contenido de estos enlaces. Que cada palo aguante su vela, es a lo que nos condena la resolución en 7 días de este escabroso asunto.
No entiendo… 16 años que está este riesgo latente. Nadie en Microsoft pudo imaginar que se podía usar el WMF para algo malicioso, siendo que hoy parece que hubiera mas programadores de spyware/virus/malware que programadores «normales» ? Fue a propósito que Microsoft esperó que explotara la bomba ?
No sé por qué os preocupáis tanto, cuando la solución es bien sencilla: dejad ya, de una vez por todas, de usar productos de Microsoft. Son caros, son defectuosos, son de baja calidad, son peligrosos, son inseguros.