CTRL Powah! Curioso bug de Internet Explorer

Uno de los bugs más curioso de los últimos tiempos: presionar la tecla CTRL (control) mientras se usa Internet Explorer abre un agujero de seguridad que permitiría a un atacante obtener archivos del PC del usuario. Este fallo afecta a todas las versiones de Internet Explorer hasta el momento.

El problema fue descubierto por la compañía Euro Trust 112.

Y Microsoft, en su linea, según afirma Euro Trust 112, ha señalado que el problema no les compete según su política de seguridad, así que no tiene previsto crear un parche. Ejem.

Reproducido de Diario Tecnologías de la Información:

Al presionar la tecla Ctrl mientras se navega por Internet se corre el riesgo de que intrusos bajen contenidos desde el PC del usuario. El agujero de seguridad afecta a todas las versiones del navegador Internet Explorer de Microsoft.

La compañía Euro Trust 112 distribuyó un alerta de seguridad luego de haber identificado una vulnerabilidad en el programa Internet Explorer. El problema consiste en que intrusos pueden valerse de un servidor web para descargar archivos locales desde el PC del usuario del programa y, por ende, acceder a información sensitiva.

La debilidad se ocasiona por un script en una página HTML, que puede ser ejecutado con menos restricciones que lo normal, al inducir al usuario a iniciarlo presionando la tecla Ctrl. Así, el script puede ser usado para acceder al disco duro de la víctima, sin que esta sospeche lo que está ocurriendo.

Según Euro Trust 112, Microsoft ha señalado que el problema descrito no les compete según su política de seguridad, por lo que no tiene contemplado crear un parche o código reparador para Internet Explorer.

Internet Explorer permite, al igual que muchos otros programas, usar la tecla Ctrl en combinación con otras para ejecutar funciones de uso corriente. Ejemplos de ello son: Ctrl+P para imprimir una página, Ctrl+O para abrir un sitio, Ctrl+N para abrir una nueva ventana, Ctrl+D para crear un sitio favorito, Ctrl+C para copiar texto marcado, Ctrl+W para cerrar la ventana activa, etc.

"Al llegar a un sitio web maligno o hackeado en que esté instalado el script en cuestión, el uso que el visitante haga de tales combinaciones de teclas puede resultar en que, sin sospecharlo, esté enviando archivos locales de su PC a este sitio", explica Euro Trust 112.

El uso que los usuarios de tales sitios malignos, o los hackers, hagan de los archivos descargados, es cuestión de fantasía. Por ejemplo, varios programas usan carpetas estándar del sistema para guardar listas de direcciones o de contraseñas, o información del sistema, que de esta forma queda totalmente expuesta para intrusos.

Enlaces relacionados:
Noticia en Diario TI
Microsoft

Pre-Análisis de Windows XP Service Pack 1 (SP1)

Paul Thurrott's SuperSite for Windows ha publicado un pre-análisis de lo que será la primera gran actualización de Windows XP, el Service Pack 1 (SP1) (más información en la noticia "Windows XP dejará de incluir Explorer y Media Player").

Ahí se pueden ver algunas curiosidades sobre la actualización, entre las que destaca la nueva opción que se añadirá al applet Agregar o Quitar Programas del Panel de Control mediante la cual se podrán deseleccionar los programas de microsoft como predeterminados para navegar, leer el correo, reproducir archivos multimedia, ejecutar applets java o para mensajería instantánea; un cambio obligado después del acuerdo al que llegó con el Departamento de Defensa (DoJ) de los EE.UU. En el artículo original pueden verse capturas de esta nueva opción.

Lo más curioso del asunto es que los programas descartados no se desinstalaran si no que solo se ocultaran a todos los efectos (menú de inicio, accesos rápidos, etc). Lo cual nos deja en la situación de que no podremos desinstalar los programas de Microsoft realmente excepto Internet Explorer (ya que no existe ni existirá tal opción).

¿Es esto legal? Es decir, ¿han cumplido el acuerdo con el DoJ?

Pues la verdad es que sí ya que el acuerdo mencionaba respecto a este tema

"(…) Microsoft shall allow end users (…) to enable or remove access to each Microsoft Middleware Product by displaying or removing icons, shortcuts, or menu entries on the desktop or Start menu, or anywhere else (…)"

es decir, Microsoft deberá permitir a los usuarios activar o desactivar el acceso a cada unos de las utilidades [las mencionadas] de Microsoft mostrando u quitando los iconos, accesos directos y entradas en el Menú Inicio o en cualquier otro sitio.

Por lo tanto Microsoft ha aplicado el texto literalmente.

A parte de esto la otra novedad que menciona el análisis son unas pequeñas modificaciones en el polémico sistema de activación de Windows XP que complicará algo más la piratería especialmente en el caso más popular de pirateo de Windows XP (las licencias por volumen para empresas con un único número de serie) y también dará algo de cancha a los usuarios premitiendo tres dias de convivencia de un Windows XP activado en dos ordenadores diferentes (útil en casos de emergencia).

La fecha prevista de publicación es el próximo otoño y podrá descargarse gratuitamente o solicitar un CD pagando los portes.

Enlaces relacionados:
Preview en Paul Turrott's SuperSite for Windows
Windows XP
Microsoft
U.S. Department Of Justice (DOJ)

Windows XP dejará de incluir Explorer y Media Player

Cuando a finales del verano o principio de otoño se publique la primera actualización de Windows XP (SP1), Windows XP dejará de incluir Internet Explorer y Windows Media Player por defecto, además de facilitar a los usuarios usar programas alternativos de la competencia.

Esta es una de las consecuencias del acuerdo al que Microsoft llegó con el Departamento de Justicia de los EE.UU. (DOJ).

En cualquier caso, Microsoft ya tiene el dominio del mercado de navegadores y de reproductores multimedia por lo que la medida no será demasiado perjudicial para la empresa.

Reproducido de Diario Tecnologías de la Información:

Durante el verano boreal, Microsoft presentará el primer paquete de servicio (SP1) de Windows XP. El producto reflejará los resultados del acuerdo extrajudicial suscrito por la compañía con el Departamento de Justicia de Estados Unidos (DOJ). Junto con excluir el navegador Internet Explorer, el nuevo Windows XP tampoco incluirá Media Player.

Sin embargo, el producto no sólo excluirá componentes como resultado del juicio antimonopolios. Windows XP SP1 también incorporará nuevas funciones como por ejemplo el soporte para pantallas inalámbricas resultante de la nueva especificación Mira. También tendrá soporte para controles multimedia derivados de la especificación Freestyle.

Siguiendo los términos del acuerdo extrajudicial, SP1 para Windows XP también incorporará funciones de ayuda que asistirán al usuario y fabricantes de PCs que deseen eliminar aplicaciones de Windows y sustituirlas por productos de la competencia.

En tal sentido, se especula si por ejemplo America Online Time Warner pagaría a los fabricantes de computadores por ofrecer modelos especiales provistos de su navegador y software de mensajería instantánea, o si Real suscribiría acuerdos con los fabricantes para instalar su lector multimedia Real Player en el escritorio de Windows.

Por el momento no está del todo claro el alcance real de la eliminación de componentes de Windows; es decir, si XP eliminará los íconos del escritorio y las referencias al programa en otras partes del sistema, o si borrará completamente la aplicación.

Las pruebas beta avanzadas de SP1 para Windows XP comenzarán dentro de un mes, y Microsoft estima iniciar la distribución del producto a usuarios finales y fabricantes de PC durante el mes de agosto.

Enlaces relacionados:
Noticia en Diario TI
Windows XP
Microsoft
U.S. Department Of Justice (DOJ)

Internet Explorer 6 tiene un tercio del mercado

Las últimas estadísticas publicadas indican que Internet Explorer 6 tiene un 30% del mercado de navegadores, lo que otorga el liderazgo y va seguido de la anterior versión, Internet Explorer 5, con lo que los navegadores de Microsoft dominan ampliamente el mercado.

Aunque esta situación podría cambiar pronto por un lado por la probable decisión de AOL (dueña de Netscape) de incluir este navegador en vez de IE en sus CDs y por otro por la inminente llegada de Mozilla 1.0 (y por lo tanto la correspondiente versión de Netscape 6) con muchas cualidades destacables.

Reproducido de Diario Tecnologías de la Información:

Las últimas cifras de la consultora StatMarket indican que Internet Explorer 6 ha conquistado el 30.4% del mercado de los navegadores para la web.

La versión 6, o sexta generación, de Internet Explorer fue presentada en agosto de 2001 y al cabo de una semana ya se había asegurado el 2.4% del mercado. Ahora, el navegador concentra el 30.4% de las preferencias de todos los usuarios de la red.

La versión anterior, es decir Internet Explorer 5, es el navegador más popular, en tanto que Navigator de Netscape cayó de 12% en agosto de 2001 a un 7% actual.

A pesar de las cifras, sombrías para el caso de Netscape, pudiera ser que la situación sea revertida a mediano plazo. La compañía propietaria de Netscape, AOL Time Warner –el mayor proveedor de acceso a Internet del mundo– considera cambiar Internet Explorer por Netscape en el CD-ROM gratuito que la compañía distribuye entre sus clientes.

En efecto, más del 13% de los usuarios de Internet del mundo son clientes de AOL, por lo que si cambian a Netscape, el "balance del poder" en el mercado de los navegadores sería alterado sustancialmente.

Enlaces relacionados:
Noticia original en Diario TI
Microsoft
Netscape
AOL
Proyecto mozilla

Windows Messenger revela información privada

Según publica Hispasec, Windows Messenger, también conocido como MSN Messenger y .NET Messenger presenta una vulnerabilidad que le hace revelar el nombre y los contactos de los usuarios remotos. Un usuario malicioso podría obtener toda esta información de una manera relativamente sencilla.

Reproducido de Hispasec:

El cliente de mensajería instantánea Windows Messenger, también conocido como MSN Messenger, revela el nombre y los contactos a los usuarios remotos.

Se ha reportado una vulnerabilidad de divulgación de información en el cliente de mensajería instantánea Messenger de Microsoft, de forma que un usuaurio remoto puede crear una página web o un e-mail html que provoque que el Messenger del receptor muestren el nombre y los contactos.

Un usuario remoto puede crear un javascript que provoque que MSN Messenger o Windows Messenger divulguen la información personal almacenada. El atacante podrá conocer el nombre del usuario en Messenger así como toda su lista de contactos. Si el usuario no ha configurado su nombre en Messenger ("nombre para mostrar") entonces se recuperará su dirección de e-mail.

Se ha reportado que ciertos sitios web de Microsoft, así como los dominios listados en el registro podrán obtener el nombre de usuario y su dirección e-mail. La lista de dominios que tienen completo acceso a la funcionalidad de Messenger se encuentra localizada en la clave del registro HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MessengerService\Policies\Suffixes con valores "Suffix0", "Suffix1", etc.

La única forma que el usuario tiene de evitar que accedan a su información personal es abandonar Messenger antes de visitar la página web maliciosa.

Enlaces relacionados:
.NET Messenger Service
Noticia en Hispasec