Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

"Cortar y pegar" compromete la seguridad en el IE
 
VSantivirus No. 900 - Año 7 - Martes 24 de diciembre de 2002

 "Cortar y pegar" compromete la seguridad en el IE
http://www.vsantivirus.com/vul-clip-ie.htm

Por Jose Luis Lopez
videosoft@videosoft.net.uy

Un exploit (programa o método concreto que saca provecho de una falla o agujero de seguridad de una aplicación o sistema, generalmente para un uso malicioso), ha sido hecho público en las últimas horas en Internet.

El mismo afecta a los usuarios del Internet Explorer de Microsoft, y puede permitir que cualquier sitio acceda al contenido del portapapeles de Windows, sin que el usuario tenga alguna señal de que ello está ocurriendo.

Esto pone en riesgo la seguridad de todos aquellos que acostumbran usar el "cortar y pegar" para reiterar contraseñas, números de tarjetas de crédito, o cualquier otra información privada que pueda ser de carácter sensible o comprometedor.

Según estadísticas recientes, el 49% de los usuarios de Internet, guardan sus contraseñas en documentos y utilizan la técnica de "cortar y pegar" para ingresar las mismas en las opciones correspondientes.

Una simple página HTML en un sitio Web, puede llegar a contener cierto código que permita explotar esta falla del Internet Explorer, para monitorear el portapapeles, y procesar a través de un script su contenido, apoderándose de él. Este script podría también ingresar esta información a una base de datos o enviarlo a través del correo electrónico a alguien para su provecho personal.

Para los expertos, la mayor preocupación se plantea ante la costumbre de cortar y pegar trozos de textos, que bien podrían ser los códigos de seguridad de una cuenta bancaria o de una tarjeta de crédito, por ejemplo.

No existe aún respuesta oficial de Microsoft al respecto.

Para evitar este tipo de acción, se puede deshabilitar la opción "Permitir operaciones de pegado por medio de una secuencia de comandos" como se explica a continuación:
  1. Vaya a Herramientas, Opciones de Internet
  2. Seleccione la lengüeta "Seguridad"
  3. Pinche en el icono de la Zona denominada "Internet"
  4. Pinche en "Personalizar nivel"
  5. Luego, busque la rama "Automatización", y marque la casilla "Desactivar" en la opción: "Permitir operaciones de pegado por medio de una secuencia de comandos"

Para comprobar si es vulnerable, puede utilizar el siguiente enlace:

http://www.ntfs.org/tmp/clip.html

Si lo es, basta copiar algo al portapapeles, para que a los pocos segundos ello aparezca en una ventana en dicha página. Por supuesto, en este ejemplo, el resultado es solo visual. Pero una manipulación del código podría servir para capturar el contenido del portapapeles, y que este fuera enviado a alguien, en alguna parte de Internet, para quién sería muy redituable la información así robada.



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2002 Video Soft BBS