Microsoft advirtió que el parche del boletín de seguridad MS08-30 no cumplió su cometido en su totalidad, por lo que volverá a publicar otro que corrija las vulnerabilidades que, se podría decir, no fueron parchadas efectivamente.

De manera original, el boletín MS08-30 tendría que haber parchado las fallas en los sistemas operativos Windows Vista y los Service Pack 2 y 3 de Windows XP, pero esto sólo ocurrió con Vista. Como las vulnerabilidades detectadas permiten a un atacante explotarla para obtener control de forma remota de la PC, la falla había sido clasificada como crítica, pero el boletín original no parchó las que afectan a Windows XP, de acuerdo con lo publicado por el miembro del Centro de Respuesta de Seguridad de Microsoft, Christopher Budd.

“Luego de que liberamos MS08-30 nos percatamos de que las actualizaciones de seguridad para Windows XP SP2 y SP3 podrían no estar protegiendo totalmente en contra de los aspectos discutidos en ese boletín (…) Nuestros equipos de ingeniería inmediatamente se dispusieron a trabajar en el tema y liberaron nuevas versiones de la actualización de seguridad que ya están disponibles y siendo entregados por las mismas vías que la actualización original”, explicó Budd.

Con respecto al problema que pudo originar este fallo, comunicó que aún investigan qué es lo que ocurrió para que el parche funcionara sólo en Vista y no en XP. Aunque no ofreció detalles sobre los primeros hallazgos, sospecha que el error pudiera estar relacionado con dos temas humanos que no están vinculados entre sí.

La vulnerabilidad hallada originalmente permite tener control de la PC de manera remota a través del dispostivio Bluetooth el cual maneja las comunicaciones en la especificación wireless. Como resultado, el atacante podría generar cuentas nuevas con todos los privilegios, instalar o borrar programas, así como ver, cambiar o borrar información.