Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Para Microsoft el problema no es el IE, es Windows
 
VSantivirus No. 770 - Año 6 - Sábado 17 de agosto de 2002

 Para Microsoft el problema no es el IE, es Windows
http://www.vsantivirus.com/17-08-02.htm

Por Redacción VSAntivirus
vsantivirus@videosoft.net.uy

Microsoft ha anunciado que la falla que afecta la veracidad de los certificados aceptados por el protocolo SSL (Secure Sockets Layer), detallada en el artículo 'Inseguridad con SSL en Internet Explorer' [http://www.vsantivirus.com/vul-ie-ssl.htm], no es un problema del Internet Explorer, como lo afirman hasta el momento la mayoría de los investigadores que han estudiado el problema.

Según Microsoft, el problema reside en el propio sistema operativo, o sea en Windows. También ha anunciado que están trabajando a toda velocidad para implementar los parches necesarios que afectarán las versiones soportadas de Windows (98, Me, NT 4.0, 2000 y XP). Windows 95 y NT anteriores a la 4.0, no tienen ya soporte oficial de la compañía, y por lo tanto no existirán parches para esas versiones.

Según afirma Scott Culp, jefe del Microsoft Security Response Centre, "el problema es la forma en que la certificación SSL es procesada cuando la información no está disponible en el certificado, o lo está en dos lugares al mismo tiempo, ocasionando un conflicto".

El resultado es una validación mentirosa a través del protocolo SSL cuando se procesa una cadena de varios certificados, perdiéndose la verdadera escala jerárquica que debería apuntar al sitio original de la autoridad de certificación, como VeriSign por ejemplo.

Según Culp, el sistema operativo debe ser parchado debido a que el IE no tiene su propio código criptográfico para procesar esta validación, delegando este servicio al SO.

Según la explicación de Culp, para Microsoft tiene más sentido que un SO provea servicios de criptografía a cualquier aplicación que lo requiera en lugar de que cada aplicación incluya su propia tecnología criptográfica.

Culp también agrega que la falla en el protocolo SSL no afecta ninguna otra aplicación fuera del Internet Explorer, y además solo actúa del lado del cliente (el usuario en este caso).

Microsoft anunciará la disponibilidad de los parches necesarios apenas disponga de ellos.


Temas relacionados:

¿Windows Update troyanizado?
http://www.vsantivirus.com/16-08-02.htm

Inseguridad con SSL en Internet Explorer
http://www.vsantivirus.com/vul-ie-ssl.htm

Ataques a certificación HTTPS en Internet Explorer
http://www.vsantivirus.com/vul-ie-https-ssl.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com 		 

Copyright 1996-2002 Video Soft BBS