Mantenimiento, Instalación y Servicio a Redes

Bug en Internet Explorer pasó desapercibido por 19 años

Bug en Internet Explorer de Microsoft pasó desapercibido por 19 años

El bug informático de dos décadas de antigüedad fue dado a conocer por IBM y muestra la realidad del desarrollo de software.

Es muy probable que ya hayas escuchado del bug de Microsoft de casi 20 años dado a conocer por IBM la semana pasada. Si no, aquí tienes una versión de lo sucedido: IBM descubrió una vulnerabilidad en VBScript, la alternativa de Microsoft para JavaScript. VBScript fue por primera vez introduce en la versión 3.0 de Internet Explorer y corría en Windows 95. Incluso hoy, el bug aún se encuentra en la versión 11 de Internet Explorer.

IBM reportó primeramente el problema a Microsoft en mayo pasado, y es sólo hasta ahora, que ya existe un parche de seguridad disponible, que lo da a conocer públicamente. La buena noticia es que no hay evidencia que alguien haya utilizado o explotado esa vulnerabilidad, probablemente por la misma razón que pasó desapercibido por tantos años.

¿Cómo es que un error de ese tipo pasa desapercibido por tantos años? Este código defectuoso debió haberse revisado en algún momento, sino es que debió de haber sido reescrito hace mucho tiempo.

La parte que resulta increíble es que este bug sobrevivió la migración de la base del Windows 9x, que es una plataforma 16/32 bits, a la más robusta presentación de Windows 2000. Lo que simplemente demuestra es que no importa cuántas versiones tenga un sistema operativo, algunas partes se usarán una y otra vez, incluso cuando se supone ser un producto completamente nuevo.

El otro aspecto que se hace evidente es que grandes porciones de código antiguo no se revisan. Mike Cherry, de Microsoft, dice que el código podría haber sido una función simple que realiza cierto tipo de trabajo y que una vez está en uso nadie sospecharía que podría ser explotado. Lo cierto es que este bug descubierto en Internet Explorer debe observar los estándares Web, incluyendo los estándares que Microsoft ha impulsado. Da la impresión que Microsoft no quiso inmiscuirse con el código VBScript ya que debía conservar la compatibilidad con páginas web de muchos años ya que podrían estar aún utilizando VBScript.

Y no es poca cosa, la web conserva gran cantidad de estas páginas. Los comunicados de prensa y páginas de productos, noticias, etc, tienen sin duda información que va hasta los 90s.

Otra aspecto de la realidad del desarrollo de software es que el código no vuelve a revisarse más porque el desarrollador migró a otra empresa y nadie se tomó el trabajo de revisarlo. Piensa sobre eso. Es muy probable que el equipo actual de desarrollo de Internet Explorer sea relativamente nuevo a este software de ya dos décadas. Tienen código que viene desde los 90s, código que no conocen y que funciona perfectamente bien, y los desarrolladores originales no están ya. Visto así, la mejor opción es dejarlo tal y como está.

Está abierta la posibilidad de descubrir más bugs de dos décadas de antigüedad o más. Y con tanto que hay que hacer hoy, ¿quién será el que vaya a revisar y tratar de encontrarlos? Parecería casi un castigo.

Post Tagged with

Comments are closed.

2017 Derechos Reservados ETISA