Hace dos días anunciábamos la publicación del parche de seguridad fuera de ciclo de Microsoft, la actualización de seguridad MS10-046, que corrige la vulnerabilidad de los archivos LNK en los sistemas Windows, la que fue aprovechada por el código malicioso Stuxnet (además de otras familias de malware, incluido el virus Sality).
Anteriormente, también ya habíamos anunciado el fin del soporte para Windows XP SP2, fecha desde la cual Microsoft dejaría de publicar actualizaciones críticas para esa versión del sistema operativo, aunque de todas formas muchos usuarios no han decidido actualizar, siendo todavía el sistema operativo utilizado en el 74% de las computadoras en empresa.
Ante la criticidad de la vulnerabilidad en cuestión (especialmente marcada por dos factores: la sencillez de explotación y la existencia de malware in-the-wild), muchos profesionales creyeron que Microsoft haría una excepción en esta oportunidad y lanzaría la actualización para Microsoft XP SP2. Sin embargo, desde la empresa confirmaron que no será así.
Según informa Computer World, durante el webcast de presentación del parche fuera de ciclo, Christopher Budd de Microsoft fue contundente: "Para ser claros, no hay parche de seguridad para XP Service Pack 2". Ante las numerosas preguntas al respecto, Budd volvió a afirmar: "Microsoft no hará comentarios sobre vulnerabilidades en productos que no tienen soporte".
Aunque muchos profesionales han cuestionado la decisión de Microsoft, vale destacar que la empresa ya había anunciado que esto así sería. A cada uno le quedará el juicio para formar su opinión, pero el dilema resulta interesante: ¿de quién es la culpa: de la empresa que ignora la alta tasa de uso o de los usuarios que usan versiones obsoletas? Aunque se entiende que Microsoft podría tener en cuenta este vector, no se puede negar que ellos simplemente se han ajustado a respetar al plan previo, algo que vale la pena destacar.
En resumen, los usuarios de Windows XP SP2 no tienen forma de solucionar esta vulnerabilidad, y sus sistemas serán vulnerables mientras los sigan utilizando. La recomendación más importante es: actualizar. Tanto Windows XP SP3 como Windows Vista y Windows 7 tienen la actualización a disposición de los usuarios. Si decidieran no hacerlo, se vuelve más imperioso que de costumbre contar con una solución antivirus con capacidades proactivas de detección, ya que, como ya dijimos, en este momento existen diversas variantes de malware explotando la vulnerabilidad.
Sebastián Bortnik
Analista de Seguridad
