Sigue la polémica sobre la vulnerabilidad WMF

Según cuenta José Manuel en Kriptópolis, nuevas declaraciones y movimientos tácticos han activado una polémica bastante airada en torno a la vulnerabilidad WMF recientemente descubierta.

La caja de Pandora la ha abierto esta vez un conocido consultor del mundillo: Steve Gibson, de GRC.com. En unas inesperadas declaraciones, sobre todo ahora que la marea estaba bajando, Gibson, tras una serie de análisis, llega a la conclusión de que el bug no es tal bug, sino que es una puerta trasera mantenida en silencio e intencionadamente colocada en el sistema operativo por Microsoft.

La polvareda que se ha levantado es monumental, habida cuenta de que Gibson tiene un poder mediático importante. Entretanto, la compañía se ha apresurado a publicar una entrada en el Microsoft Security Response Center. En esa entrada, Stephen Toulouse nos cuenta un poco la evolución del problema, con la clara intención de dejar claro lo que evidentemente la compañía quiere hacer constar: que el bug es bug y no es una puerta trasera dejada ahí con conocimiento y consentimiento de los responsables.

Como no podía ser de otro modo, Toulouse se remonta a 1990, año en que se añadió soporte WMF al sistema operativo de por aquel entonces, Windows 3.0. Toulouse también les recuerda a los usuarios de Windows 98,98SE y ME que ya pueden ir tirando sus sistemas a la basura, en aras de la política de mantenimiento de parches para dichos sistemas. El que quiera parches, que compre licencias de 2000 o posteriroes.

De todos modos, si usas 98, 98SE o ME, tranquilo, si no pasa nada:

With WMF we want to be very clear: the Windows 9x platform is not vulnerable to any «Critical» attack vector.

The reason Windows 9x is not vulnerable to a «Critical» attack vector is because an additional step exists in the Win9x platform: When not printing to a printer, applications will simply never process the SetAbortProc record.

Tranquilo, hombre, no hay vectores de ataque críticos para Windows 9x porque resulta que las aplicaciones nunca procesan la famosa función SetAbortProc cuando éstas no imprimen a una impresora. Sin comentarios.

El blog de MSRC empieza a ser más bien el blog del club de la comedia. Pronto moveré sus RSS a la carpeta «Humor» de mi bloglines.