Explorer 3.0 primeros errores detectados Mirosoft Explorer 3.0, el navegador de Microsoft que compite directamente con Netscape para romper su hegemonia en el mercado dispone en su version final de importantes fallos de seguridad segun han alertado investigadores de la Universidad de Princeton en los Estados Unidos. El error detectado permite a usuarios de Internet acceder a los archivos alojados en el disco duro de un usuario conectado a la red con lo que peligra la seguridad de empresas e instituciones que mantienen conexion directa y que no dispongan de elementos de seguridad adicionales. Bill Koszewski, director de productos Internet de Microsoft ha manifestado que la Compa�ia alertado por los investigadores de esta universidad han puesto a disposicion de los usuarios un parche que corrige este importante error. Para el directivo de Microsoft, en declaraciones efectuadas a Reuters, los errores de seguridad producen una gran preocupacion en la compa�ia e inmediatamente que son detectados en algun programa este tipo de errores responde rapidamente para solventarlos. Los datos del estudio de la Universidad de Princeton pueden ser obtenidos en: http://www.cs.princeton.edu/sip/News.html. Y el programa que corrige los errores de Explorer en los Website de la empresa o bien en : ftp://ftp.bol.com.br/pub/netutil/microsoft/update.exe Este mensaje desperto la alarma Dirk Balfanz y Ed Felten, del Departamento de Ciencia de Computacion de la Universidad de Princeton URL: http://www.cs.princeton.edu/sip/ Hemos descubierto un defecto de seguridad en la version actual (3.0) del navegador Microsoft Internet Explorer funcionando bajo Windows 95. Un agresor podria utilizar el defecto para iniciar cualquier comando del DOS en la maquina del usuario del MS Explorer que este visitando la pagina de dicho agresor. Por ejemplo, el agresor podria leer, modificar o borrar archivos de la victima, o insertar un virus o una entrada escondida a la maquina de la victima. Hemos verificado este descubrimiento creando una pagina Web que borra un archivo en la maquina de cualquier usuario del MS Explorer que visite esta pagina. El nucleo del ataque consiste en una tecnica para enviar un documento al navegador de la victima evitando los chequeos de seguridad que normalmente se aplicarian al documento. Si el documento fuera, por ejemplo, una carpeta de Microsoft Word, podria contener una macro que ejecutara cualquier comando DOS. Normalmente, antes de recibir un archivo peligroso como un documento Word, el MS Explorer muestra un aviso advirtiendo que el archivo podria contener un virus o algun otro contenido peligroso, y pregunta al usuario si no quiere recibir el archivo o si quiere recibirlo de todas maneras. Esto da al usuario la posibilidad de evitar el riesgo de un documento infectado. Sin embargo, nuestra tecnica permite a un agresor enviar un documento sin disparar la pantalla de aviso. Microsoft ya ha sido advertido y estan trabajando en la solucion del problema. No daremos mas detalles sobre el defecto hasta que el remedio sea completamente accesible. |