El bug fue descubierto por IBM y reportado a Microsoft. Los de Redmond ya lanzaron parches para Windows Vista, 7 y 8.1; XP fuera de soporte.
El bug vivió nada menos que 19 años, aunque no podrá alcanzar con vigor la barrera de las dos décadas. Tal como informa The Verge, hacia comienzos de año investigadores del departamento de seguridad informática de IBM dieron con una falla que afecta a todas las versiones de Windows desde 1995 a esta parte, y la reportaron luego a Microsoft. Ahora, los de Redmond han lanzado un parche que llega para remediar el longevo bug identificado como MS14-066 – Microsoft Schannel Remote Code Execution Vulnerability – CVE-2014-6321
La vulnerabilidad reside en el componente de seguridad Microsoft secure channel (schannel) que implementa la capa de sockets seguros y protocolos de seguridad (TLS). El error ocurre al no filtrar adecuadamente paquetes especialmente formados y esto hace posible que atacantes puedan ejecutar código mediante el envío de tráfico malintencionado a un servidor basado en Windows.
Este agujero de seguridad propicia ataques remotos mediante la ejecución de un código, obligando a Windows (en específico a los navegadores Internet Explorer 3.0 en adelante) a visitar una URL. En tanto, afecta a todas las versiones de Windows: XP, Vista, 7, 8, 8.1, incluso en las versiones RT.
Microsoft ya ha lanzado parches para Windows 8.1, Windows 7 y Windows Vista. Tal como señala la fuente, Windows XP queda por fuera del “salvataje”, puesto que, tal como informamos en la ocasión, la compañía ya no brinda soporte para aquella versión del sistema operativo.
The Verge indica que el bug ha sido calificado con 9.3 puntos sobre 10 por la CVSS, por lo cual es más que recomendable descargar el parche. En esta línea, el sitio Ars Technica habla de una vulnerabilidad que reviste una “potencial catástrofe”.
Fuente: RedUsers