
Explorer 3.0 primeros errores detectados

        Mirosoft Explorer 3.0, el navegador de Microsoft que compite
directamente con Netscape para romper su hegemona en el mercado dispone
en su versin final de importantes fallos de seguridad segn han
alertado investigadores de la Universidad de Princeton en los Estados
Unidos.

        El error detectado permite a usuarios de Internet acceder a los
archivos alojados en el disco duro de un usuario conectado a la red con
lo que peligra la seguridad de empresas e instituciones que mantienen
conexin directa y que no dispongan de elementos de seguridad
adicionales.

        Bill Koszewski, director de productos Internet de Microsoft ha
manifestado que la Compaa alertado por los investigadores de esta
universidad han puesto a disposicin de los usuarios un parche que
corrige este importante error. Para el  directivo de Microsoft, en
declaraciones efectuadas a  Reuters, los errores de seguridad  producen
una gran preocupacin en la compaa e inmediatamente que son detectados
en algn programa este tipo de errores responde rpidamente para
solventarlos.

        Los datos del estudio de la Universidad de Princeton pueden ser
obtenidos en:

http://www.cs.princeton.edu/sip/News.html.

        Y el programa que corrige los errores de Explorer en los Website
de la empresa o bien en :

ftp://ftp.bol.com.br/pub/netutil/microsoft/update.exe

Este mensaje despert la alarma

        Dirk Balfanz y Ed Felten, del Departamento de Ciencia de
Computacin de la Universidad de Princeton
        URL: http://www.cs.princeton.edu/sip/

        Hemos descubierto un defecto de seguridad en la versin actual
(3.0) del navegador Microsoft Internet Explorer  funcionando bajo
Windows 95. Un agresor podra utilizar el defecto para iniciar cualquier
comando del DOS en la mquina del usuario del MS Explorer que est
visitando la pgina de dicho agresor.

        Por ejemplo, el agresor podra leer, modificar o borrar archivos
de la vctima, o insertar un  virus o una entrada escondida a la mquina
de la vctima. Hemos verificado este descubrimiento creando una pgina
Web que borra un archivo en la mquina de cualquier usuario del MS
Explorer que visite esta pgina.

        El ncleo del ataque consiste en una tcnica para enviar un
documento al navegador de la vctima evitando los chequeos de seguridad
que normalmente se aplicaran al documento. Si el documento fuera, por
ejemplo, una carpeta de Microsoft Word, podra contener una macro que
ejecutara cualquier comando DOS.

        Normalmente, antes de recibir un archivo peligroso como un
documento Word, el MS Explorer muestra un aviso advirtiendo que el
archivo podra contener un virus o algn otro contenido peligroso, y
pregunta al usuario si no quiere recibir el archivo o si quiere
recibirlo de todas maneras. Esto da al usuario la posibilidad de evitar
el riesgo de un documento infectado. Sin embargo, nuestra tcnica
permite a un agresor enviar un documento sin disparar la pantalla de
aviso. Microsoft ya ha sido advertido y estn trabajando en la solucin
del problema.

        No daremos ms detalles sobre el defecto hasta que el remedio
sea completamente accesible.

