Microsoft otra vez tarde
Miércoles, 7 de noviembre de 2007
El 5 de noviembre Microsoft publica el Microsoft Security Advisory (944653), con respecto a la vulnerabilidad en el driver secdrv.sys. Dicha vulnerabilidad se hizo publica el 23 de Octubre por la gente de Symantec.
Leyendo el Advisory me quedo con algunas frases:
Microsoft is working with Macrovision, investigating new public reports of a vulnerability in the Macrovision secdrv.sys driver
Microsoft is actively monitoring this situation to keep customers informed and to provide customer guidance as necessary.
Microsoft is concerned that this new report of a vulnerability in the Macrovision secdrv.sys driver on supported editions of Windows Server 2003 and Windows XP was publicly disclosed, potentially putting computer users at risk.
No entiendo como Microsoft dice estar “investigando los reportes sobre la vulnerabilidad” y que esta “monitoreando activamente la situación”, en un advisory publicado 13 días después de que se dio a conocer la vulnerabilidad.
Entiendo que la última frase es para la gente de Symantec que hizo pública la información, me pregunto: ¿Por que Symantec no lo informo a Microsoft? será porque Microsoft a pesar de que tiene responsabilidades sobre la últimas vulnerabilidades (a través de programas de terceros) se niega a reconocerlas. Como el caso del manejo de las URI en firefox y IE URI Handling Command Execution Vulnerability y su derivada en los pdf que fue reconocida, luego de idas y venidas de esta manera por el “Microsoft Security Response Center”.
|
Comentarios
| Trackback
Al habla
Debes identificarte para publicar un comentario.