17 enero 2010

Liberado el código que explota vulnerabilidad de Internet Explorer

El código que se utilizó para explotar las debilidades del Internet Explorer y que trajo como consecuencia una serie de ataques sofisticados a Google y otras compañías se ha hecho público, preparando el ambiente para ataques globales a otras organizaciones.

Tanto metasploit e immunitysec han estado trabajando en productos que comprometen la seguridad de los equipos que tienen instalados versiones antiguas del Internet Explorer. Los ataques se basan en hacer que el software falle por medio de una referencia no válida a la memoria del equipo atacado. Esto hizo posible que los atacantes pudieran penetrar las defensas de Google y otros sitios electrónicos.

En las pruebas, el código malicioso hizo que fuera posible ejecutar remotamente instrucciones en aquellos equipos con versiones de Internet Explorer 6 y 7 y sistema operativo Windows XP SP3, dijo en un correo electrónico el investigador de immunitysec.com, Kostya Kortchinsky. También indicó que aunque fue un poco más difícil, el código también hizo fallar al Internet Explorer 8. Ello implica que aunque esta última versión del navegador también es afectada por el código, se recomienda a los usuarios la actualización a este producto debido a las dificultades que presenta un ataque al mismo.

Puede ver la noticia completa aquí.

Nota del editor. Esta debilidades en Internet Explorer abren de nuevo el debate sobre si el código abierto es más seguro que el código cerrado. Hay un adagio que dice que mientras más cerrado sea un software, es menos probable encontrar fallas ya que no hay manera de analizar la codificación del mismo. Cuando un software es abierto, son cientos, sino miles de programadores los que pueden analizar las posibles fallas y con ello hacer que el software sea más estable. Otros indican que por el contrario, cuando un software es abierto, es más fácil ver sus fallas y con esto, realizar ataques a versiones del producto. Un tema interesante y complejo en el cual creo que la mayoría no se ha puesto de acuerdo.

0 comentarios: