El azar o la fortuna ha provocado que en un periodo relativamente corto de tiempo se hayan producido dos vulnerabilidades de seguridad críticas y de gran calado. Hablo de la vulnerabilidad de schannel (CVE-2014-6321) con la de shellshock (CVE-2014-6271).

La primera afecta a sistemas windows, y permite la ejecución remota de código.

La segunda afecta a sistemas linux, y permite también la ejecución remota de código.

Esto es lo que decía Microsoft sobre la CVE-2014-6321:

microsoft_security_bulletin_summary_for_november_2014.pdf

Prácticamente hay que parchear todos los sistemas: servidores y escritorios afectados por igual.

Sin embargo, cual ha sido el impacto mediático de ambas vulnerabilidades??? Veamos.

A fecha 20/11/2014, y consultando desde España, google arroja 55.400 resultados para CVE-2014-6321 y 1.030.000 resultados para CVE-2014-6271. Una hermosa diferencia.

Buscando por “Shellshock” aparecen referencias incluso en revistas especializadas de gran difusión, mientras que la para schannel, no hay nada.

http://searchwindowsserver.techtarget.com/news/2240234507/Microsoft-delivers-hefty-batch-of-patches?utm_medium=EM&asrc=EM_NLT_36352656&utm_campaign=20141112_Patch%20Tuesday%20updates,%20Azure%20MFA,%20Office%20365%20migrations_aboger&utm_source=NLT&track=NL-1810&ad=896732

¿Una buena campaña de publicidad? ¿es que si entendemos de qué va la vulnerabilidad somos más proclives a poner remedio??