> MAPA del WEB <
|
||||||||||||
|
|
||||||||||||
Noticias Profesionales
|
|
Martes 27 de enero de 2004 |
Noticias
Seguridad de la Información y Protección de DatosMicrosoft no soluciona un problema de seguridad
Microsoft adoptó hace pocos meses la política de publicar parches acumulativos de seguridad el primer martes de cada mes. Se homogeneizaba así una caótica situación, que llevaba a Microsoft día sí, día también, a crear arreglos y parches para la mayor parte de su software. La última publicación mensual, no incluye solución para un problema calificado como crítico y que está siendo explotando de forma masiva.
Bill Gates ha cerrado los ojos ante una nueva vulnerabilidad del omnipresente Internet Explorer, obviando la inclusión de una solución en el último parche acumulativo. Un tal Zap The Dingbat, descubría en Diciembre de 2003 cómo, añadiendo un simple carácter a una URL se podía cambiar su apariencia por completo. La diferencia es que no se modificaba sólo es aspecto, sino también la barra de estado que, aunque la dirección se muestre camuflada, siempre refleja el lugar exacto donde se va a dar el salto. Muchos usuarios confían en lo que indica esta barra como seguro o indicativo de hacia donde van a dirigirse. Con un simple carácter, la barra de estado mostrará lo que el hacker malicioso quiera que muestre.
Otros navegadores que cometían el mismo error, fueron modificados convenientemente a los pocos días de conocerse la vulnerabilidad.
El primer martes de Enero, Microsoft ha publicado un trio de parches para MDAC, Exchange Server 2003 y el filtro H323 que se corresponden con los avisos MS04-01, 02 y 03. En esta publicación no se hace referencia al problema descrito más arriba, obviándolo por completo y abandonando a los indefensos usuarios del navegador.
Las reacciones no se han hecho esperar, y ya han aparecido las primeras técnicas de phishing que se aprovechan del error. En la madrugada del sábado al domingo 11 de Enero, se detectó un envío masivo de e-mails que simulaban ser un mensaje del Banco Popular solicitando a los clientes dirigirse a una dirección de su sitio web para mejorar la seguridad de sus cuentas. El enlace, que en apariencia conectaba con el dominio bancopopular.es, en realidad utilizaba la vulnerabilidad de IE para engañar a los usuarios y hacer que éstos introduzcan sus datos en la página web de los estafadores.
Fuera de nuestras fronteras, los clientes de Bank of America y Citibank ya se han visto afectados por el envío de correos basados en la misma técnica y aprovechando la misma vulnerabilidad.
Microsoft no se ha pronunciado oficialmente sobre cuándo pretende solucionar el problema.Fuente: www.aui.es
Sergio de los Santos
20/01/2004Noticias relacionadas:
* La sencillez de uso de Microsoft es una de las causas de la falta de seguridad en Internet, según expertos (30.09)
* Microsoft anuncia el cierre de sus "chats" en 28 países para combatir el "spam" y la pornografía (24.09)
* Microsoft Office 2003 incluirá herramientas para restringir el acceso a los documentos (08.09)
