Los usuarios de Microsoft Windows se han acostumbrado al ciclo mensual de actualización Patch Tuesday y a la divulgación de vulnerabilidades fijas que afectan el sistema operativo que trae consigo
Debido a los problemas bien documentados que han sufrido los usuarios que actualizan Windows 10 durante el último año o dos, muchos se inclinan a hacer lo que no pueden para implementar estas actualizaciones de inmediato. Hoy no es el día para diferir su actualización de Windows si la seguridad de Microsoft es algo por lo que pasar.
Parece que podría haber lo que un destacado reportero de investigación ha llamado "una vulnerabilidad de seguridad extraordinariamente grave" en un componente criptográfico central que está presente en Windows 10. Antes de respirar profundamente y relajarse porque todavía está utilizando Windows 8, Windows 7 o Windows XP , ese mismo componente criptográfico está presente en todas las versiones de Windows.
Para agregar combustible a este fuego crítico de vulnerabilidad de seguridad, también se rumorea que los objetivos militares y de alto valor de la infraestructura de Internet de los EE. UU. Han recibido la solución hoy bajo estrictos acuerdos de confidencialidad para evitar la divulgación temprana de la vulnerabilidad en sí. Entonces, ¿esto es solo un rumor? Que la Agencia de Seguridad Nacional de EE. UU. (NSA) deba realizar una llamada a los medios de comunicación por parte de la directora de ciberseguridad, Anne Neuberger, sugiere que no. La naturaleza de esa llamada a los medios es, según los reporteros que han recibido la notificación, "proporcionar una notificación avanzada de un problema actual de ciberseguridad de la NSA".
¿Qué se sabe sobre esta vulnerabilidad de seguridad de Windows 'extraordinariamente grave'?
La primera pista de que algo grande está sucediendo hoy vino en un mensaje publicado ayer en Twitter por Will Dormann, un analista que redacta informes de vulnerabilidad en el Centro de Coordinación (CC) del Equipo de Respuesta a Emergencias Informáticas (CERT). "Tengo la impresión de que las personas tal vez deberían prestar mucha atención a la instalación de las actualizaciones del martes de parches de Microsoft de manera oportuna. Incluso más que otras", escribió Dormann, y agregó: "No sé ... simplemente llámenlo un ¿corazonada?"
Esto fue recogido por el periodista de investigación Brian Krebs, quien dijo que sus fuentes le dijeron : "Microsoft tiene previsto lanzar una actualización de software el martes para corregir una vulnerabilidad de seguridad extraordinariamente grave en un componente criptográfico central presente en todas las versiones de Windows".
Esas mismas fuentes sugirieron que la vulnerabilidad está dentro de crypt32.dll, un componente de Windows que trata con certificados de seguridad y funciones de mensajería criptográfica. El CryptoAPI es lo que permite a los desarrolladores asegurar aplicaciones basadas en Windows y cualquier vulnerabilidad crítica aquí podría afectar el cifrado y descifrado mediante certificados digitales. Krebs dijo que también podría afectar "la autenticación en los escritorios y servidores de Windows, la protección de datos confidenciales manejados por los navegadores Internet Explorer / Edge de Microsoft, así como una serie de aplicaciones y herramientas de terceros".
¿Qué tan grande podría ser este problema de seguridad de Windows?
En este punto, debe reiterarse que esto sigue siendo una conjetura, no se ha hecho ninguna revelación y ni Microsoft ni la NSA están diciendo nada más allá de confirmar que los detalles de cualquier vulnerabilidad no serán discutidos antes de que una actualización esté disponible.
"Si es cierto que hay vulnerabilidades en CryptoAPI de Microsoft", dice el pirata informático ético John Opdenakker , "el impacto potencial puede ser grande. Desde el pasado, también sabemos que muchas empresas y personas no se apresuran a parchar, lo que los pone en riesgo. Esto muestra por qué las actualizaciones automáticas son tan importantes ".
"Si la solución ya ha sido enviada a organizaciones como el ejército de Estados Unidos" , dice Sean Wright , líder del capítulo en OWASP Escocia, "respalda aún más esta sospecha. Va a ser realmente interesante ver qué es".
Fecha actualización el 2021-01-14. Fecha publicación el 2020-01-14. Categoría: windows Autor: Oscar olg Mapa del sitio Fuente: forbes Version movil