Microsoft conocía la existencia de la vulnerabilidad de Active X desde 2008

Microsoft ha confirmado que había descubierto la vulnerabilidad de Active X, que ya se está explotando para infectar a internautas, entre abril y mayo de 2008, y afirma que lanzará el parche respectivo este martes.

El problema se dio a conocer al público la semana pasada, cuando Microsoft emitió una alerta urgiendo a los usuarios de Windows XP y Windows Server 2003 para que desactivaran el control ActiveX de forma temporal hasta que se lanzara el parche para la vulnerabilidad.

Los cibercriminales comenzaron a explotar la falla en junio. La vulnerabilidad les permite infectar a los usuarios mediante ataques ‘drive-by’, así que los internautas sólo tienen que ingresar al sitio malicioso o alterado para ser víctimas del ataque.

Microsoft afirma que ha estado trabajando en un parche para este problema desde el año pasado. “Microsoft se enteró de la existencia de esta vulnerabilidad en 2008. Cuando nos alertaron sobre el problema en 2008, comenzamos de inmediato una investigación”, dijo Christopher Budd, del Centro de Respuesta de Seguridad de Microsoft (MSRC).

“Como resultado de esta investigación, decidimos que eliminar el control de ActiveX de Internet Explorer era lo mejor. Como queríamos ser minuciosos, la evaluación completa del problema tomó más tiempo”, dijo Budd.

El problema en este caso es que Microsoft tardó tanto en investigar la falla que los cibercriminales descubrieron la vulnerabilidad antes de que existiera un parche que proteja a los usuarios.

Mike Reavey, director del MSRC, afirmó que Microsoft tardó tanto tiempo porque debía encontrar la forma de solucionar el problema sin obstruir el funcionamiento de las aplicaciones del sistema. “Si lanzamos un parche que daña las aplicaciones no protegería a nadie porque nadie lo instalaría”, dijo Reavey.

“No todas las vulnerabilidades son iguales respecto a la cantidad de trabajo que debemos hacer para asegurarnos de que no sólo arreglamos el problema en cuestión, sino también cualquier otro problema similar”, dijo Reavey.

“La naturaleza de esta falla es algo único”, dijo Ryan Smith, uno de los descubridores de la vulnerabilidad. “Su funcionamiento también es único. Son esas cualidades únicas las que hicieron que Microsoft necesitara más tiempo del normal”, dijo.

Microsoft afirma que lanzará un parche para esta vulnerabilidad el martes 14, en su ciclo mensual de actualizaciones.