Mas opiniones sobre la falta de parches...

14/01/2004 - 17:28 por Ille Corvus | Informe spam
http://www.enciclopediavirus.com/no...a.php?id71

Los últimos parches de Microsoft no solucionan los fallos más graves

La última serie de parches lanzados por Microsoft este martes, no
solucionan fallos tan graves como el que permite engañar a los
usuarios mostrando un dominio falso en el Internet Explorer.

Este fallo, ha desatado una andanada de timos "on-line", sobre todo a
los clientes de instituciones bancarias y empresas financieras, como
los recientemente anunciados al Grupo Banco Popular de España, o al
CitiBank, entre otros.

Muchos expertos aguardaban la solución en los parches de enero, según
la nueva política de actualizaciones mensuales de Microsoft; con más
razón al no haberse publicado ninguno en diciembre. Sin embargo, para
su sorpresa, ninguno de los tres boletines publicados soluciona dicho
problema, y lo que es peor, tampoco ninguna de las demás
vulnerabilidades en el Internet Explorer reportadas en los últimos
meses.

La respuesta oficial de voceros de la compañía, es que "se está
pensando aún una solución". Sin embargo, las versiones beta del nuevo
SP2 para Windows XP, incluyen una versión del Explorer, que soluciona
el problema del dominio falso, según revelaron algunas fuentes.

El fallo, permite que usuarios maliciosos, puedan controlar la
información mostrada en la barra de direcciones del Internet Explorer,
de modo de engañar a los usuarios para que ingresen datos personales,
generalmente críticos, en ellos.

Por otra parte, el problema es tan fácil de explotar, que ni siquiera
se necesitan conocimientos avanzados para hacerlo. Para Ken Dunham, de
la compañía de seguridad iDefense, este es uno de los agujeros más
grandes que puedan existir. Y aunque se basa en una característica
explotada anteriormente, y referida en los estándares de Internet (el
uso de la arroba para pasar parámetros de usuario y contraseña a un
servidor), la nueva forma de aplicar el exploit mediante la inclusión
de ciertos caracteres, lo vuelve más peligroso, al ocultar la URL
completa a los ojos del usuario.

Aunque en todos los navegadores, la dirección accedida no es la que
aparece en el enlace, solo en el Internet Explorer esta dirección
permanece totalmente oculta bajo un dominio falso.

Aunque las recomendaciones básicas son las de no acceder a enlaces
desde mensajes que no han sido solicitados, el fallo es demasiado
importante, como para dejarlo únicamente en manos de la precaución.
Por lo tanto, causa sorpresa que en la lista de parches de enero, este
tema no haya sido tratado por Microsoft.

Para Johannes Ullrich, del SANS Institute's Internet Storm Center,
organismo que mantiene un pormenorizado seguimiento de todos los
ataques en línea que se aprovechan de agujeros conocidos o por
conocer, "este es el problema de seguridad más severo del que yo esté
enterado en este momento, al menos desde el punto de vista del
consumidor"
-


+ Opiniones...
http://www.enciclopediavirus.com/no...a.php?id70
No solo víctimas de un timo, también podemos ser culpables


Ille Corvus. Hic et Nunc.
 

Leer las respuestas

#1 aaa
14/01/2004 - 17:34 | Informe spam
no entiendo como pones el link. y ademas todo su contenido. con uno
de los dos basta.. y a veces hasta sobra.

aaa

"Ille Corvus" escribió en el mensaje
news:
http://www.enciclopediavirus.com/no...a.php?id71

Los últimos parches de Microsoft no solucionan los fallos más graves

La última serie de parches lanzados por Microsoft este martes, no
solucionan fallos tan graves como el que permite engañar a los
usuarios mostrando un dominio falso en el Internet Explorer.

Este fallo, ha desatado una andanada de timos "on-line", sobre todo a
los clientes de instituciones bancarias y empresas financieras, como
los recientemente anunciados al Grupo Banco Popular de España, o al
CitiBank, entre otros.

Muchos expertos aguardaban la solución en los parches de enero, según
la nueva política de actualizaciones mensuales de Microsoft; con más
razón al no haberse publicado ninguno en diciembre. Sin embargo, para
su sorpresa, ninguno de los tres boletines publicados soluciona dicho
problema, y lo que es peor, tampoco ninguna de las demás
vulnerabilidades en el Internet Explorer reportadas en los últimos
meses.

La respuesta oficial de voceros de la compañía, es que "se está
pensando aún una solución". Sin embargo, las versiones beta del nuevo
SP2 para Windows XP, incluyen una versión del Explorer, que soluciona
el problema del dominio falso, según revelaron algunas fuentes.

El fallo, permite que usuarios maliciosos, puedan controlar la
información mostrada en la barra de direcciones del Internet Explorer,
de modo de engañar a los usuarios para que ingresen datos personales,
generalmente críticos, en ellos.

Por otra parte, el problema es tan fácil de explotar, que ni siquiera
se necesitan conocimientos avanzados para hacerlo. Para Ken Dunham, de
la compañía de seguridad iDefense, este es uno de los agujeros más
grandes que puedan existir. Y aunque se basa en una característica
explotada anteriormente, y referida en los estándares de Internet (el
uso de la arroba para pasar parámetros de usuario y contraseña a un
servidor), la nueva forma de aplicar el exploit mediante la inclusión
de ciertos caracteres, lo vuelve más peligroso, al ocultar la URL
completa a los ojos del usuario.

Aunque en todos los navegadores, la dirección accedida no es la que
aparece en el enlace, solo en el Internet Explorer esta dirección
permanece totalmente oculta bajo un dominio falso.

Aunque las recomendaciones básicas son las de no acceder a enlaces
desde mensajes que no han sido solicitados, el fallo es demasiado
importante, como para dejarlo únicamente en manos de la precaución.
Por lo tanto, causa sorpresa que en la lista de parches de enero, este
tema no haya sido tratado por Microsoft.

Para Johannes Ullrich, del SANS Institute's Internet Storm Center,
organismo que mantiene un pormenorizado seguimiento de todos los
ataques en línea que se aprovechan de agujeros conocidos o por
conocer, "este es el problema de seguridad más severo del que yo esté
enterado en este momento, al menos desde el punto de vista del
consumidor"
-


+ Opiniones...
http://www.enciclopediavirus.com/no...a.php?id70
No solo víctimas de un timo, también podemos ser culpables


Ille Corvus. Hic et Nunc.

Preguntas similares