Malwarebytes reportó una vulnerabilidad inexistente en WinRAR

Escrito por Luis Torroba
Seguridad
0

Las empresas de seguridad no son omnipotentes, y tampoco lo saben todo. Obviamente también cometen fallos, aunque a decir verdad, son pocas veces las que salen a la luz. Uno de estos errores públicos lo acaba de cometer Malwarebytes, ya que reportó una vulnerabilidad en WinRAR que no era tal. Como es natural ha tenido que pedir perdón por esta metedura de pata.

Las prisas por ser los primeros suelen llevar muchas veces a errores garrafales. Lo hemos visto muchas veces en la prensa y en muchos otros aspectos de la vida. Y hay que tener cuidado, sobre todo cuando puedes perjudicar a un tercero si tu información no es verdadera. Pues bien, parece ser que mucho cuidado no puso Malwarebytes cuando informó que WinRAR, el popular programa de comprensión, tenía un fallo que hacía vulnerables a millones de usuarios.

Obviamente están en la obligación de avisar a los usuarios, ya que viven de ello, pero también de no mandar falsos mensajes que pueden perjudicar seriamente a una empresa. Y no fueron lo suficientemente diligentes para comprobar si su información era correcta.

WinRAR

RARLAB les contestó

Cuando la empresa que desarrolla WinRAR se enteró de esta acusación intentaron explicar el motivo por el que ni ellos, ni nadie, lo consideraba una vulnerabilidad. Parece ser que el problema surgió cuando Microsoft lanzó un parche en 2014. Pues bien, según Malwarebytes, la vulnerabilidad venía con ese parche que provocaba que los usuarios estuvieran inseguros.

Pero esto no era del todo cierto, según RARLAB sin este parche cualquier programa que utilizara componentes de Internet Explorer era vulnerable, incluido Internet Explorer y por supuesto WinRAR. “Todo el ataque se basa en las vulnerabilidades de Windows OLE MS14-064 remendadas en noviembre de 2014. Los sistemas con el parche instalados son seguros. Los sistemas sin parche deben instalarlo. Sin este parche todos los software que utilizan componentes de MS Internet Explorer, incluyendo Internet Explorer en sí, puede ser vulnerables”.

Sin embargo, Malwarebytes pensaba que el propio parche contenía un agujero, algo cierto, pero era necesaria demasiada cooperación del usuario para considerarlo una vulnerabilidad. Al final la compañía de seguridad tuvo que rectificar y ya ha pedido perdón: “Nos gustaría disculparnos con WinRar ya que esto no es una vulnerabilidad en su software. Se necesita mucha cooperación del usuario e incluso entonces no se ejecuta el código resultante de una manera elevada”.

Seguramente en un futuro Malwarebytes tendrá más cuidado a la hora de lanzar advertencias de este tipo.

Fuente: betanews.

Quizá te interese…

Compártelo. ¡Gracias!