Symantec necesita más tiempo para corregir graves vulnerabilidades

Symantec necesita hasta mediados de julio, aunque sin garantías, para crear los parches que probablemente solucionarán vulnerabilidades de nivel crítico en una serie de sus productos de seguridad.

Luego que Project Zero de Google anunciara a fines de junio el descubrimiento de graves vulnerabilidades en software de seguridad de Symantec, la empresa ha publicado parches que solucionan los errores más urgentes. Sin embargo, admite que le tomará varias semanas enmendar aspectos fundamentales de su arquitectura.

La empresa anunció que la versión en la nube de Symantec Endpoint Protection Small Business Edition será actualizada esta semana, mientras que la versión para escritorio aún no está disponible.  Symantec ha asegurado las actualizaciones serán distribuidas “a mediados de julio”, por lo que pide a sus clientes estar atentos a la información que les transmitirá.

Project Zero dio a conocer públicamente situación a fines de junio, después de haber notificado directamente a Symantec en mayo pasado. “Estas vulnerabilidades no podrían ser más graves. No requieren interacción por parte del usuario, afectan la configuración estándar, y el programa es ejecutado con los niveles más altos de privilegios. Al tratarse de Windows, en algunos casos el código vulnerable es cargado en el kernel, lo que resulta en la corrupción remota de la memoria central”, comentó Tavis Ormandy, experto en seguridad informática adscrito a Project Zero.

En el blog oficial de Project Zero, Ormandy criticó a Symantec, dando a entender que el problema se debió a que la empresa “toma atajos” en lugar de aplicar procedimientos de sandboxing. “Recomendamos el sandboxing y un ciclo de vida de desarrollo de productos de seguridad. Sin embargo, las empresas comerciales optan por los atajos el caso de emuladores y herramientas de inspección, lo que  convierte su software en una vasta fuente de vulnerabilidades”.

Según Ormandy, el conjunto de vulnerabilidades no sólo podría habilitar a un hacker a hacerse del control de la computadora de un usuario, sino de toda una red empresarial. Indudablemente, al no requerir interacción, o ni siquiera imprudencia por parte del usuario de la computadora, el problema tiene un formidable potencial de daño.


Fotografía © Ken Wolter vía Shutterstock


Únase a la conversación

Contacto | Diario TI es una publicación de MPA Publishing International Ltd., Reino Unido. © Copyright 1997-2022