Vulnerabilidad (a/a JM Tella Llop)

02/02/2004 - 23:24 por Bernardo Quintero | Informe spam
Hash: SHA1

Al ver hoy el último parche para Internet Explorer, he recordado
la discusión sin sentido que mantuve en estos foros, donde el
Sr. JM Tella Llop se empeñó en decir que no existía la vulnerabilidad
de Internet Explorer que permitía ofuscar las URLs.

Después de echar por tierra varios argumentos, finalmente insitió
en que no podía denominarse "vulnerabilidad" en ningún caso. Llegó
a tachar a Hispasec de "amarillista" y alarmistas por denominarlo
"vulnerabilidad".

En el boletín de seguridad de MS de hoy
http://www.microsoft.com/technet/se...04-004.asp
podemos leer:

"A vulnerability that involves the incorrect parsing of URLs that
contain special characters. When combined with a misuse of the
basic authentication feature that has "username:password@" at the
beginning of a URL, this vulnerability could result in a
misrepresentation of the URL in the address bar of an Internet
Explorer window. To exploit this vulnerability, an attacker would
have to host a malicious Web site that contained a Web page
that had a specially-crafted link."
[...]

Parece que Microsoft coincide con mi punto de vista (como también
lo hizo el CERT/CC y cualquiera con criterio en seguridad), en
denominarlo como VULNERABILIDAD.

Espero que el sr. JM Tella Llop tenga a bien rectificar las
afirmaciones que sostuvo en estos foros, y que pudieron
confundir a otros usuarios.

En caso contrario, tendré que suponer que Microsoft, como Hispasec
y el resto del mundo, también está equivocada en denominarlo como
"vulnerabilidad", y él sigue teniendo razón :)

Saludos cordiales,

Bernardo Quintero
bernardo@hispasec.com

 

Leer las respuestas

#1 Marc S. [MVP Windows]
02/02/2004 - 23:39 | Informe spam
Y porqué no le pones un mail directamente a él? Sabes las que vas a liar ahora, cariño?


Saludos
Marc
MCP - MVP Windows Shell/User
NOTA. Por favor, las preguntas y comentarios en los grupos, así nos beneficiamos todos.
Reglas de conducta de los grupos de noticias: http://support.microsoft.com/defaul...newsreglas

"Bernardo Quintero" escribió en el mensaje news:
Hash: SHA1

Al ver hoy el último parche para Internet Explorer, he recordado
la discusión sin sentido que mantuve en estos foros, donde el
Sr. JM Tella Llop se empeñó en decir que no existía la vulnerabilidad
de Internet Explorer que permitía ofuscar las URLs.

Después de echar por tierra varios argumentos, finalmente insitió
en que no podía denominarse "vulnerabilidad" en ningún caso. Llegó
a tachar a Hispasec de "amarillista" y alarmistas por denominarlo
"vulnerabilidad".

En el boletín de seguridad de MS de hoy
http://www.microsoft.com/technet/se...04-004.asp
podemos leer:

"A vulnerability that involves the incorrect parsing of URLs that
contain special characters. When combined with a misuse of the
basic authentication feature that has "username:password@" at the
beginning of a URL, this vulnerability could result in a
misrepresentation of the URL in the address bar of an Internet
Explorer window. To exploit this vulnerability, an attacker would
have to host a malicious Web site that contained a Web page
that had a specially-crafted link."
[...]

Parece que Microsoft coincide con mi punto de vista (como también
lo hizo el CERT/CC y cualquiera con criterio en seguridad), en
denominarlo como VULNERABILIDAD.

Espero que el sr. JM Tella Llop tenga a bien rectificar las
afirmaciones que sostuvo en estos foros, y que pudieron
confundir a otros usuarios.

En caso contrario, tendré que suponer que Microsoft, como Hispasec
y el resto del mundo, también está equivocada en denominarlo como
"vulnerabilidad", y él sigue teniendo razón :)

Saludos cordiales,

Bernardo Quintero




Preguntas similares