Microsoft parchea un bug que llevaba activo 15 años
El gigante de Redmond ha puesto fin a un bug que llevaba activo 15 años y que podría afectar a cualquier ordenador equipado con Windows, aunque debemos tener claro que su descubrimiento se produjo en enero de 2014.
Conocido bajo el nombre de [pajarito]Jasbug[/pajarito] esta vulnerabilidad tipo «man in the middle» (posición intermedia entre servidor y usuario) ha sido calificada como crítica, ya que permitía la adquisición de privilegios y la ejecución de código de forma remota, siempre que estemos conectamos previamente a una red maliciosa.
Sí, sé que os preguntáis por qué Microsoft ha tardado tanto en resolverlo, y la respuesta es muy sencilla. Jasbug es un problema de diseño y no de implementación, lo que supone que su resolución era extremadamente compleja, ya que obligaba al gigante de Redmond a modificar partes de la propia estructura de Windows.
Sin entrar en complicados detalles técnicos podemos decir que en principio no hay nada de lo que preocuparse, ya que no hay indicios de que el bug haya sido aprovechado puesto que, como dijimos, ni la propia Microsoft era consciente del mismo hasta enero del pasado año.
La solución a este bug la podemos encontrar en el boletín KB3004361, disponible para las siguientes versiones de Windows:
- Windows Vista
- Windows 7
- Windows 8
- Windows RT
- Windows 8.1
- Windows RT 8.1
- Windows Server 2003 (de forma parcial, ya que por cuestiones de la propia estructura del SO no es totalmente subsanable).
- Windows Server 2008
- Windows Server 2008 R2
- Windows Server 2012
- Windows Server 2012 R2
Llegados a este punto me viene a la cabeza qué habría ocurrido si Project Zero de Google hubiera descubierto esta vulnerabilidad.
Probablemente Microsoft no habría podido resolverla en los 90 días que dan de plazo y habría acabado siendo publicada, dejando a una inmensa cantidad de usuarios indefensos.
Por ello os lanzo una pregunta que creo que puede generar un intersante debate, ¿os parece correcto el planteamiento de Project Zero de Google? ¿Por qué?