|
Controlado desde el
19/10/97 por NedStat
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro
visitante número desde
el 12 de agosto de 1996
| La nueva seguridad del IE 6.0 ¡lo hace más inseguro! | ||
|---|---|---|
VSantivirus No. 656 - Año 6 - Miércoles 24 de abril de 2002 La nueva seguridad del IE 6.0 ¡lo hace más inseguro! http://www.vsantivirus.com/vul-ie6-abr-02.htm Por Redacción VSAntivirus vsantivirus@videosoft.net.uy Las nuevas características de seguridad, agregadas al Internet Explorer 6, serían justamente su talón de Aquiles, según reveló ayer un desarrollador de sitios web e investigador privado, de origen dinamarqués. Thor Larholm encontró en el software mencionado, unas curiosas formas de comportarse, fácilmente explotables mediante el uso de cierto código. Informó de esto a Microsoft el pasado 18 de marzo. Pero luego de un mes, suponiendo que la empresa no le estaba dando la importancia debida, decidió publicar lo encontrado. La respuesta oficial de Microsoft fue que el parche para cubrir la nueva falla, está siendo creado, y que Larholm simplemente se adelantó, poniendo en riesgo la seguridad de sus clientes, curiosamente el mismo argumento que utilizó Larholm. En concreto, la falla permite a un atacante realizar graves daños a la privacidad y seguridad de nuestro sistema. Uno de los ejemplos de la falla publicados por Larholm, permite la ejecución de programas en forma remota, en la máquina del usuario. Por ejemplo, un sitio Web podría descargar y ejecutar un gusano, o un troyano, etc. También es posible el envío silencioso de mensajes a los usuarios de la lista de contactos del MSN de la víctima. Utilizar esto para el envío de virus es sencillo, además de comprometer la integridad moral de la víctima, ya que sus contactos podrían recibir cualquier tipo de mensaje (incluso infectados), en el que se involucra el nombre de la víctima, sin ser ésta responsable. Larholm asegura además que con estas fallas, es posible el robo de los cookies de la víctima, con sus preferencias al visitar determinados sitios, etc. Según el investigador, la falla se produce por un error al intentar el Internet Explorer validar sus ventanas de diálogo mientras interactúa con un sitio remoto. Pinchando sobre un icono en la barra de estado del navegador del nuevo IE 6.0, el usuario puede obtener un reporte de privacidad cuando este visita un sitio. Este reporte sirve para que el usuario decida como utilizar sus cookies en ese sitio o como aplicar una política de privacidad. La única solución dada al problema por el momento, pasa por la deshabilitación del uso de JavaScript en el explorador. Nosotros comprobamos que el uso de la utilidad Proxomitron, también sirve para disminuir los riesgos, y aunque no fueron hechas pruebas demasiado exhaustivas, en un primer intento, Proxomitron bloqueó todo código potencialmente dañino. Este proxy es de uso gratuito, y su instalación y configuración, se explican en nuestro sitio (ver Referencias). GreyMagic Software, una compañía de seguridad de Israel, también afirmó haber encontrado una falla muy similar a la revelada por Larholm, en el componente Analyze.dlg del IE. Al contrario de la falla revelada por Larholm, que solo afecta al IE 6.0, la encontrada por GreyMagic parece afectar también las versiones anteriores del explorador (IE 5 y 5.5). Referencias: Advertencia de Larholm http://jscript.dk/adv/TL002/ Advertencia de GreyMagic http://sec.greymagic.com/adv/gm001-ax/ Descripción del nuevo rasgo de privacidad del IE http://www.microsoft.com/windows/ie/evaluation/overview/privacy.asp VSantivirus No. 646 - 14/abr/02 Proxomitron. Una protección imprescindible para navegar http://www.vsantivirus.com/proxomitron.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com |
||
