Microsoft encuentra 1.800 agujeros en Office


Los desarrolladores de Office han localizado más de 1.800 agujeros en Office 2010 sin solucionar tras ejecutar millones de pruebas de las denominadas fuzzing. Microsoft aclara que no todos los fallos comprometen la seguridad de la suite.





Según explica Tom Gallagher, del equipo Trustworthy Computing de Microsoft, estas pruebas fuzzing son una práctica que llevan a cabo tanto los desarrolladores de software como los investigadores de seguridad cuando buscan agujeros en las aplicaciones. Para ello, insertan datos en analizadores de formatos de archivos para ver dónde fallan los programas. Debido a que algunos errores pueden ser posteriormente atacados con éxito para romper el software, permitiendo a un atacante insertar código maligno en la aplicación, estas prácticas fuzzing son de gran interés tanto para los investigadores, ya sean criminales o con objetivos legítimos, a la hora de localizar vulnerabilidades de seguridad.

“Hemos localizado, y solucionado, 1.800 agujeros en el código de Office 2010", explica Gallagher, quien, tras reconocer que es “un gran número”, destaca que “lo importante es que no significa que hayamos encontrado 1.800 problemas de seguridad, puesto que también hemos solucionado aspectos que no conciernen a la seguridad de la aplicación”.

Gallagher declinó, en cualquier caso, cuantificar el número de agujeros localizados por estas técnicas que sí podrían ser considerados vulnerabilidades. Algunas de ellas ya han sido solucionadas en versiones anteriores de la suite ofimática puesto que la información obtenida con los análisis fuzzing del código de Office 2010 fue contrastada con el código de esas versiones anteriores (como Office 2007 y 2003) y parcheadas durante el desarrollo de Office 2010.
Así, los agujeros descubiertos en la última versión que no afectan a la seguridad pero que ya existían en versiones anteriores serán solucionados en los próximos Service Pack que prepara la compañía, asegura Gallagher.

Microsoft ha sido capaz de encontrar tal cantidad de agujeros utilizando no sólo máquinas de su laboratorio, si no también PC infrautilizados o sin trabajo dentro de la empresa. Un concepto que tampoco es nuevo. El proyecto Search for Extraterrestrial Intelligence fue el primero en popularizar esta práctica, que también se utiliza en investigaciones médicas o para localizar el mayor número primo.

Tal y como explica Gallagher, “lo llamamos una red botnet para fuzzing”, en referencia a lo que la propia Microsoft ha denominado Distributed Fuzzing Framework (DFF). Así, el software cliente instalado en las máquinas de la red de Microsoft automáticamente detecta cuándo un PC está sin trabajo, como los fines de semana, y lo aprovecha para realizar estos tests fuzzing. “Podemos hacer millones de operaciones de este calibre cada semana”, explica Gallagher, quien calcula que, en algunos casos, se superan los 12 millones de operaciones.

Aunque todo el equipo de desarrollo de Office utiliza esta red DFF, no todos los grupos dentro de Microsoft explotan sus posibilidades. En estos momentos, SharePoint, MSN y las búsquedas con Fast han probado este sistema, pero no los desarrolladores de Windows, por ejemplo.

Fuente:
Autor: PCWORLD PROFESIONAL
http://www.csospain.es



Otras noticias de interés:

Una en Windows, otra en X-Windows
Como viene siendo habitual, utilices Windows o no la Red te brinda hoy motivos de preocupación....
HP liberó código de Isis para webOS
HP ha puesto a disposición de los desarrolladores este navegador, mientras se mueve hacia QtWebKit para aumentar la compatibilidad y el rendimiento de la plataforma....
Vulnerabilidades peligrosas de software permanecen por meses
Kaspersky Lab publicó el informe: Evaluando el nivel de amenaza de las vulnerabilidades de software, después de un análisis cuidadoso sobre la prevalencia de fallas de seguridad encontradas en varios programas en 2012. Usando datos de la red de se...
Más sobre la grave vulnerabilidad "Drag and Drop" en IE
En un reciente artículo, mencionábamos una importante vulnerabilidad en Microsoft Internet Explorer, causada por una insuficiente validación de los eventos de arrastrar y soltar (drag and drop). ...
Firefox 7, consume menos memoria
Mozilla ha anunciado el lanzamiento de la versión final de la última actualización de su navegador web: Firefox 7. La compañía destaca como principal característica la reducción del consumo de memoria por parte del navegador, uno de los princi...
Un proyecto europeo combate la obesidad del software obsoleto. Se llama Leg2Net y busca una evolución del software más eficiente
Informáticos de la Universidad de Leicester, en el Reino Unido, y de la empresa ATX Software están trabajando en el creciente problema de la evolución y la degradación del software. Ellos lo llaman software “obeso”, usando un símil médico. ...
0 day en la librería msvidctl.dll de Microsoft Windows
Malos momentos para Microsoft. Se acaba de detectar un nuevo 0 day en Windows que está siendo aprovechado activamente. Microsoft no ha reconocido todavía el fallo, pues ha sido publicado por terceras partes. El exploit es público, y parece que (co...
Antes de pasar a manos de Oracle, Sun anuncia MySQL 5.4
Las cosas están cambiando rápidamente en la base de datos MySQL. El martes, al inicio de la MySQL Conference & Expo, Sun anunciaba nuevos planes de liberación. ...
El software libre tiene menos bugs que el software propietario
El Departamento de Seguridad Interna de los Estados Unidos financió con 1,2 millones de euros un estudio independiente llevado a cabo por las empresas Coverity y Symantec....
Los riesgos de los servicios de geolocalización
La vulnerabilidad de las aplicaciones Web y la naturaleza de los sistemas de localización personal puede resultar una combinación peligrosa, sobre todo por las facilidades que pueden aportar a criminales o acosadores....

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • agujeros
  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • encuentra
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra