Blogia
navegaseguro

Dos nuevos fallos en IE (y primer parche para el SP2)

En lo que va de semana, se han encontrado dos nuevos fallos de seguridad en Internet Explorer. Liu Die Yu ha encontrado otra manera de hacer que Internet Explorer muestre en la barra de direcciones una dirección distinta de la real, lo que podría ser usado en lo que se ha dado en llamar phising, ataques que consisten en tratar de engañar al usuario para que entregue sus contraseñas o números de tarjeta haciéndole creer que está en un sitio de confianza (por ejemplo, su banco) cuando no es así. Por supuesto, para este tipo de timo, cuantas más cosas se puedan recrear al detalle, mejor.

Sin embargo, este método para sustituir el contenido de la barra de direcciones ya no funciona en IE6.05, la versión del navegador de Microsoft que viene con el Service Pack 2 para Windows XP. Supongo que a partir de ahora veremos unos cuantos en que los sucederá ésto, porque no hay que olvidar que los usuarios de otras versiones de Windows (98, ME, 2000) que aún tienen soporte por parte de Microsoft no pueden acceder a esta versión de Internet Explorer, ya que ha dejado de distribuirse como aplicación separada. Habrá que ver cómo de rápido funciona el soporte de Microsoft (en forma de parches, me refiero) para estas cosas, porque me da la impresión de que están muy centrados en XP y de los otros se acuerdan poco.

En cambio, el otro fallo de IE afecta también a los que ya hayan instalado el nuevo SP2. Y es bastante más peligroso, además. En este caso, http-equiv se basa en un trabajo realizado por la ya citada Liu Die Yu en septiembre del año pasado que Microsoft tuvo que parchear en dos ocasiones (con el primer parche no lograron solucionar el problema). En la prueba de concepto que ha diseñado, consigue colocar un programa en la carpeta Inicio de un Windows XP, actualizado con todos los parches disponibles (SP2 incluido), sin que el usuario reciba notificación de lo que ocurre, con lo que éste se ejecutará en el siguiente reinicio. Hay más información en Secunia en inglés y en Nautopia, en castellano, entre otros sitios.

Mientras que es de esperar que el Service Pack 2 sea efectivo contra epidemias de gusanos tipo Blaster o Sasser, no ocurre así para Internet Explorer 6.05, cuyas mejoras son pocos menos que cosméticas (quizá alguna de las modificaciones sea útil contra el spyware, pero eso aún está por ver) y es más que probable que siga marcando nuevos hitos en su impresionante registro de problemas de seguridad. De momento, empezaremos a contar los días que tardan en Microsoft en encontrar una solución para ésto.

Para terminar por hoy, un fallo en el diseño del nuevo firewall que viene con Windows XP SP2, provoca que aplicaciones que necesiten acceder al interfaz loopback dejen de funcionar, dando un mensaje de error indicando que no se ha podido establecer la conexión. Microsoft ya ha puesto ha disposición de los usuarios del Service Pack 2 una solución, en lo que es el primer parche para este paquete de actualizaciones de Microsoft, cuando apenas hace tres días que está disponible y después de acumular meses de retraso en su puesta a punto y distribución.

0 comentarios