Las vulnerabilidades 0-Day son probablemente las más peligrosas. Reciben ese nombre porque esas vulnerabilidades son totalmente desconocidas por los desarrolladores y los piratas y generalmente suele existir una carrera entre ambos para ver quién desarrolla antes el exploit o el parche de seguridad que solucione la vulnerabilidad.
VUPEN es una empresa de seguridad orientada al análisis de software en busca de este tipo de fallos y errores para posteriormente desarrollar exploits que venden al mejor postor, siempre dentro del «ámbito legal» (jueces, gobiernos, etc), es decir, nunca han vendido ninguno de sus productos a piratas informáticos ni usuarios malintencionados.
Esta empresa de seguridad descubrió el 12 de febrero de 2011 una vulnerabilidad grave 0-Day en Internet Explorer. Esta vulnerabilidad no fue reportada a la compañía hasta 3 años más tarde, el pasado 13 de marzo de 2014, fecha en la que, aprovechando la conferencia Pwn2Own la compañía decidió finalmente hacer pública la vulnerabilidad para que en los parches de junio Microsoft finalmente corrigiera dicha vulnerabilidad en su navegador web.
Esta vulnerabilidad afecta a las últimas versiones de Internet Explorer, desde la versión 8 a la 11, ambas inclusive. El fallo permitía a piratas informáticos explotar el navegador logrando saltarse el modo protegido del mismo y llegando a ganar privilegios en el sistema operativo.
Esta no es la única vulnerabilidad 0-Day oculta dentro de Internet Explorer sino que el propio Microsoft ha ocultado una vulnerabilidad grave desde octubre de 2013 que permitía la ejecución de código remoto. Este tipo de acciones preocupan a los usuarios ya que se preguntan si las empresas y las desarrolladoras mantienen vulnerabilidades ocultas para utilizarlas en su propio beneficio y poder así tener el control sobre nuestros sistemas a través de dichas vulnerabilidades. Puedes ver por qué al enchufar un dispositivo se va Internet.
Todos los usuarios que utilicen Internet Explorer deberán instalar los últimos parches de seguridad de Microsoft para poder seguir disfrutando de un navegador seguro sin vulnerabilidades conocidas.
¿Qué opinas de la ética de mantener vulnerabilidades en secreto y vender exploits como hace VUPEN?