Microsoft y la Falla de Seguridad: Un Parche Insuficiente
La Falta de Atención a las Vulnerabilidades
Microsoft ha sido criticado por subestimar una vulnerabilidad que, aunque considerada de “bajo riesgo” en su momento, ha demostrado ser una amenaza significativa. La llegada de informes de Trend Micro llevó a la vulnerabilidad al catálogo del NIST, donde fue reconocida con un alto puntaje CVSS de 7.8. Este puntaje resalta cómo un “simple defecto de visualización” puede tener consecuencias serias en la seguridad de los usuarios.
Cambios Recientes en Windows 11
En una actualización reciente de noviembre, se introdujo un cambio que afecta la visualización del campo “Cuerpo” en las propiedades de los accesos directos en Windows 11. Esto significa que las cadenas truncadas a 260 caracteres ya no son un problema, lo que también reduce el riesgo de que se ejecuten comandos maliciosos ocultos en esos campos. Sin embargo, a pesar de esta mejora, no se puede considerar un correctivo de seguridad oficial, ya que Microsoft no ha admitido que sea una respuesta a la vulnerabilidad existente.
La Resistencia de Microsoft
El gigante tecnológico se mantiene firme en su postura respecto a la responsabilidad de los usuarios. Argumenta que la educación sobre los rincón de configuración de accesos directos y los comportamientos responsables son fundamentales. Esta lógica parece ser un intento de desviar la atención de la necesidad de un verdadero parche, como si aplicar un “pansement” fuera suficiente para abordar una herida abierta.
Las Iniciativas de ACROS Security
Ante esta inacción, ACROS Security ha decidido tomar el asunto en sus propias manos. Desarrollaron un parche no oficial que limita la longitud de los campos en los accesos directos y señala accesos directos sospechosos. Sin embargo, este parche solo está disponible para suscriptores de las versiones PRO y Enterprise de la plataforma 0patch, dejando a muchos usuarios comunes sin una solución viable.
Conclusión
La esencia del problema radica en la actitud de Microsoft hacia la seguridad. Aunque han realizado cambios positivos, estos no deben considerarse suficientes. La falta de un verdadero correctivo sugiere que la empresa prefiere cubrir las deficiencias con parches temporales en lugar de abordar las vulnerabilidades de manera integral. La situación pone de relieve la importancia de que los usuarios permanezcan vigilantes y busquen soluciones adicionales mientras se espera que las grandes compañías cumplan con sus responsabilidades hacia la seguridad cibernética.
About the Author
