¿Qué ocurre cuando un fabricante deja de parchear su software?

Los ingenieros de Microsoft no estarán contentos este mes, gracias a las acciones de un usuario de Github preocupado por la comunidad llamado Zeffy, quien ha decido parchear los parches de Microsoft.

A Zeffy no le gustó la decisión de Microsoft de dejar de actualizar Windows 7 y 8.1 en los ordenadores nuevos. La empresa, que ha trabajado duro para empujar a sus usuarios a que utilizaran Windows 10, anunció en enero del año pasado que no actualizaría estos sistemas operativos en los ordenadores que tuvieran microprocesadores de séptima generación (es decir Kaby Lake de Intel, y Bristol Ridge de AMD). Algunos de sexta generación obtendrían los parches hasta mediados de este año.

En la actualización de abril, se llevó a cabo esta política, dejando a los usuarios de los nuevos chips y con Windows 7 y 8.1 sin parches disponibles, según informa Bleeping Computer.

Esto enfadó enormemente a Zeffy, quien considera Windows 10 como un montón de basura, por lo que analizó la actualización de Windows hasta que encontró un fichero que era el responsable de identificar el chipset. Lo modificó de manera que que se pueda instalar estos parches en todos los ordenadores.

Esta no es la primera vez que alguien parchea el software de otros. La Operación Rosehub es un esfuerzo de 50 ingenieros por parchear proyectos de código abierto que usan una versión problemática de Apache Common Collections. Muchos proyectos usan esas librerías como WebLogic, WebSphere, JBoss y Jenkins. Pero nadie se preocupó de solucionar las vulnerabilidades, así que Google tomó cartas en el asunto.

Otro ejemplo es 0patch, una iniciativa de la consultora eslovena Acros Security. Este proyecto usa lo que denominan “micro-patching“, en el que en vez de modificar el código binario, lo hacen in-memory, de manera que es mucho más rápido de testear e implementar.

Estas diferentes formas de afrontar las políticas de actualización muestran los problemas existentes en el parcheado del software.

0Patch es interesante ya que al no modificar el código tiene menos riesgos de que la actualización bloquee los equipos. De hecho ya han publicado más de 300 parches, muchos de los cuales no eran vulnerabilidades día cero.

La Operación Rosehub en cambio lidia con otro problema habitual, el que los fabricantes no parcheen su software con la rapidez necesaria. Esto subraya otro tema interesante, muchos ojos están buscando vulnerabilidades, pero pocas manos se emplean en solucionarlos.

El caso de Zaeffy es distinto: el parcheado selectivo diseñado por el fabricante en contra de sus usuarios. Microsoft intenta con estas políticas forzar a sus clientes a utilizar Windows 10, aunque el usuario prefiera el sistema operativo que ya está tiene instalado.

Todo esto nos muestra que nos encontramos ante una guerra de parches, en la que se obliga a los usuarios a cambiar de sistema operativo, por lo que no nos extrañaría que Zeffy volviera a publicar su propio parche a los parches de Microsoft.

Para manteneros al día de las últimas amenazas haceros fans de nuestra página de Facebook o síguenos en Twitter para intercambiar experiencias en torno al mundo de la seguridad. Si deseas recibir nuestro boletín de seguridad en tu correo electrónico, suscríbete en la siguiente aplicación: