La plataforma global e independiente para la comunidad SAP.

QuickTime para Windows vulnerable: ¿Qué les importa a las empresas?

A mediados de abril se publicaron dos vulnerabilidades de seguridad en QuickTime de Apple para Windows. Se descubrieron a finales de 2015, pero como no se dieron a conocer, Apple tuvo tiempo de reaccionar. Lo que aquí se llamó "anunciar" tiene repercusiones...
Raimund Genes, Trend Micro
4 de mayo de 2016
Seguridad
avatar
Este texto ha sido traducido automáticamente del alemán al español.

La recomendación oficial de Apple era simplemente desinstalar QuickTime. Gracias a HTML 5 y al soporte de vídeo directamente en los navegadores web, esto no afecta realmente al "usuario normal".

Esto convertiría esta historia en un clásico tema de consumo. Sin embargo, existe otra faceta de QuickTime: ProRes.

Se trata de un códec de vídeo desarrollado por Apple para cine y vídeo profesional. Muchas superproducciones de Hollywood se ruedan con cámaras que utilizan ProRes nativo como "formato de película".

Aunque los códecs ProRes están incluidos en Mac OS X, la única forma legal en Windows era instalar QuickTime. Esto es especialmente cierto para los programas de edición, corrección de color, 3D y efectos visuales.

Con la interrupción de QuickTime, flujos de trabajo de producción enteros quedan de repente "colgados en el aire". Una situación muy extendida en entornos profesionales y operaciones informáticas.

La descontinuación del software o el fin del soporte es un problema con el que hay que lidiar casi a diario en los sistemas de control industrial. En el caso de algunos componentes industriales con una vida útil prevista de 20 años o más, no debería sorprendernos que Windows XP todavía se encuentre allí con frecuencia.

En algunos casos, ¡incluso todavía se puede encontrar MS-DOS!

La opción de una actualización rápida no existe en este caso. Por un lado, porque esto significa que ya no se puede garantizar la funcionalidad del sistema. Por otro lado, sin embargo, también por razones bastante banales como las dependencias de hardware.

Ni siquiera tiene que ser el fin completo del soporte de un software. Incluso la instalación puntual de parches críticos es problemática. Muchos sistemas críticos para la empresa, en particular, tienen ventanas de mantenimiento definidas.

Aunque el parche esté disponible y pueda aplicarse, puede tardar hasta medio año (¡o más!) hasta la siguiente ventana de mantenimiento. Durante este tiempo, los sistemas están "en el aire" y son vulnerables.

Las operaciones informáticas profesionales son mucho más que la mera gestión de parches. Si solo operas con sistemas que pueden parchearse en cualquier momento y sin efectos secundarios, lo tienes muy fácil... pero la experiencia demuestra que esos entornos no existen fuera de las diapositivas de las presentaciones.

Así que también hay que pensar en proteger los sistemas que no se pueden parchear con prontitud o más.

En el caso de los sistemas que no están conectados a la red, un análisis de riesgos todavía podría salirse con la suya con el argumento de que las vulnerabilidades no parcheadas no pueden explotarse. Sin embargo, hoy en día casi todos los sistemas críticos para la empresa están conectados a la red.

Otra posibilidad es el parcheado virtual (virtual shielding), como el que ofrece, por ejemplo, Deep Security de Trend Micro. Se trata de blindar los agujeros de seguridad sin interferir en el sistema real, de modo que ya no puedan explotarse a través de la red, por ejemplo.

El propio sistema no está parcheado y, por tanto, puede ser vulnerable, pero la vulnerabilidad no puede explotarse.

Esto no debe tomarse como un "pase libre" para no volver a parchear los sistemas. Sin embargo, estas tecnologías permiten proteger los sistemas hasta la ventana de mantenimiento.

Esto es diferente para los sistemas para los que el fabricante ya no proporciona parches. A menudo, estas tecnologías son la única manera de utilizar los sistemas de forma segura. El funcionamiento profesional de las TI debe mirar al futuro.

No importa si se trata de sistemas críticos para la empresa, plantas industriales o "sólo" flujos de trabajo en el sector de los medios de comunicación. Hoy en día no basta con pensar en cómo hacer funcionar los sistemas de forma segura.

También hay que considerar el funcionamiento futuro, posiblemente sin el apoyo del fabricante. Las tecnologías necesarias están disponibles y han demostrado su eficacia. Integradas en el funcionamiento informático habitual, permiten un funcionamiento seguro:

2016 XVIOb hoy, cuando los parches están disponibles y pueden aplicarse rápidamente, o mañana, cuando las ventanas de mantenimiento están más espaciadas o quizá no haya ningún parche disponible.

avatar
Raimund Genes, Trend Micro

Raimund Genes fue Director Técnico de Trend Micro.


Escriba un comentario

Trabajar sobre la base de SAP es crucial para el éxito de la conversión a S/4. 

Esto confiere al centro de competencia una importancia estratégica para los clientes actuales de SAP. Independientemente del modelo operativo de S/4 Hana, temas como Automatización, Supervisión, Seguridad, Application Lifecycle Management y Gestión de datos la base de las operaciones S/4.

Por segunda vez, E3 Magazine organiza una cumbre para la comunidad SAP en Salzburgo con el fin de ofrecer información exhaustiva sobre todos los aspectos del trabajo preliminar de S/4 Hana.

Lugar de celebración

En breve recibirá más información.

Fecha del acontecimiento

Miércoles 21 de mayo y
Jueves, 22 de mayo de 2025

Entrada anticipada

Disponible hasta el viernes 24 de enero de 2025
390 EUROS sin IVA

Entrada normal

590 EUROS sin IVA

Lugar de celebración

Hotel Hilton Heidelberg
Kurfürstenanlage 1
D-69115 Heidelberg

Fecha del acontecimiento

Miércoles, 5 de marzo, y
Jueves, 6 de marzo de 2025

Entradas

Entrada normal
590 EUR sin IVA
Entrada anticipada

Disponible hasta el 20 de diciembre de 2024

390 EUR sin IVA
El acto está organizado por la revista E3, publicada por B4Bmedia.net AG. Las presentaciones irán acompañadas de una exposición de socios seleccionados de SAP. El precio de la entrada incluye la asistencia a todas las ponencias de la Cumbre Steampunk y BTP 2025, una visita a la zona de exposición, la participación en el acto nocturno y el catering durante el programa oficial. El programa de ponencias y la lista de expositores y patrocinadores (socios de SAP) se publicarán en este sitio web a su debido tiempo.