La firma se ha olvidado de resolver algunos problemas de seguridad de esta suite, que ya tiene 9 años de andadura. Sin embargo, lanza parches para Office 2003 y 2007.
Por segunda vez en los últimos nueve meses, Microsoft ha declarado que no resolverá una vulnerabilidad en un producto antiguo, porque crear una solución para el mismo es “inviable”.
Esta omisión deja, por tanto, a los usuarios de Office XP indefensos y vulnerables a ataques a no ser que tomen sus propias medidas de seguridad al respecto.
Office XP, que vio la luz en marzo de 2001, sigue siendo uno de los paquetes de productividad de la compañía con más presencia en el mercado. De hecho, sus usuarios seguirán recibiendo actualizaciones de seguridad hasta mediados de julio del año que viene. Pero esta misma semana, Microsoft ha declarado que una vulnerabilidad que reside en la validación COM en la vieja suite no será resuelta.
La decisión ha sido explicada por la compañía en una de las diez actualizaciones que lanzó estos días y que resuelven un número récord de problemas de seguridad, en concreto, 34.
“La arquitectura que soporta correctamente los parches para corregir la validación no existe en Microsoft Office XP, por eso es inviable solucionarlo para que estos productos eliminen la vulnerabilidad”, explican desde Microsoft en el boletín de seguridad MS10-036 “Para resolverlo, sería necesario rediseñar una gran cantidad de la base de Microsoft Office XP y no sólo de los componentes afectados”.
Incluso aunque consiguieran que Office XP volviera a funcionar, desde Microsoft consideran que el esfuerzo “introduciría una incompatibilidad con otras aplicaciones que no permitirían asegurar que los productos Office de Microsoft siguieran funcionando del modo en que fueron diseñados”.
“Éste es otro ejemplo de cómo el viejo software tiene sus achaques”, explica Amol Sarwate, director del laboratorio de análisis de vulnerabilidades Qualy. “Las interdependencias de archivos hacen prácticamente imposible resolverlos sin actualizar la plataforma completamente”.
Así, en lugar de lanzar un parche actualizado, desde Microsoft animan a los usuarios de Office XP a que se descarguen y pongan en marcha una herramienta automatizada de su librería “Fit it”. Esta herramienta, según Microsoft, “proporciona protección similar contra la vulnerabilidad”, como el parche que ofrecen a los usuarios de Office 2003 y Office 2007. Puede descargarse en la página de soporte de Microsoft.
Ésta es la segunda vez en que Microsoft decide no proporcionar un parche desde septiembre del año pasado. En aquel momento, Microsoft declinó resolver dos problemas de seguridad que se planteaban en la implementación de TCP/IP en Windows 2000 y Windows XP. Entonces, también utilizó argumentos similares para justificar su decisión. “No calificaría esto como una tendencia”, opina Sarware.
No hay comentarios:
Publicar un comentario