Internet Explorer añade un error más a su trayectoria

31/01/2005 - 22:26 por Ana | Informe spam
I love FIREFOX


Internet Explorer añade un error más a su trayectoria
El parche creado por Microsoft destinado a solucionar el problema
descrito en el primer boletín de seguridad de 2005, puede ser burlado
gracias a la combinación de otras vulnerabilidades en Internet
Explorer.

Lunes, 31 enero 2005
ASOCIACIÓN DE INTERNAUTAS, VÍCTOR DOMINGO
Con esta nueva demostración de ineficacia, Internet Explorer no hace
más que añadir un error más en su ya triste trayectoria, y confirmar
de paso su inutilidad como navegador de confianza. El parche destinado
a solventar la primera vulnerabilidad del año admitida por Microsoft
en su boletín MS05-001, aseguraba solucionar un fallo en el objeto
"HTML Help ActiveX control" de Windows. Aunque la vulnerabilidad fue
descubierta semanas antes de la descripción de este fallo y
aparecieron programas capaces de explotarla, no fue hasta el segundo
martes de enero que apareció el parche. Aun con tiempo suficiente para
desarrollar un antídoto eficaz, el parche publicado sólo bloquea un
conocido método de explotación de esta vulnerabilidad, pero no la
soluciona por completo.

La empresa de seguridad GeCAD NET, ha asegurado que con la combinación
de ésta y otra vulnerabilidad existente pero todavía no hecha pública,
se puede crear un exploit válido para la vulnerabilidad descrita en
MS05-001 incluso si el usuario está parcheado. Por lo crítico del
descubrimiento (permite la ejecución de código en el sistema) y la no
existencia todavía de solución, GeCAD NET no proporciona más
información sobre él. Lo que sí se sabe es que ésto no afecta a
Windows XP con Service Pack 2 instalado y con el parche aplicado.

GeCAD demuestra así que Microsoft, en sus parches, es capaz de
bloquear la ejecución del exploit popular del momento, pero no atacar
el problema de raíz de forma eficaz para que ningún otro software
maligno sea capaz de aprovechar el fallo encontrado. Es en estos
momentos en los que los "parches" de Microsoft adoptan por completo el
significado de la palabra, y se fabrican como verdaderos "parches"
para tapar más bocas que agujeros en el software.

No es la primera vez que le pasa. En julio de 2004 lanzó una
corrección de emergencia ante el grave problema que suponía Scob o
Download.Ject, un ataque vírico que infectaba a usuarios de Internet
Explorer que visitaran páginas web con el servidor HTTP de Microsoft
comprometido. La combinación de vulnerabilidades en los dos productos,
resultó en la posibilidad de ejecutar código en los usuarios que
navegaran por páginas afectadas. Este fenómeno hizo sonar la alarma
entre expertos en seguridad.

Este caso es especialmente relevante, porque en aquella ocasión, la
corrección publicada no era más que un cambio de configuración en el
navegador que no atacaba el problema de raíz, y Microsoft recomendó a
los usuarios a que esperaran un parche definitivo en la por entonces
inminente aparición del Service Pack 2 para Windows XP.

En octubre de 2003 salía a la luz un exploit universal (válido para
todas las versiones de Windows independientemente del Service Pack
instalado) que funcionaba aun en sistemas supuestamente actualizados
con MS03-026. Era capaz de violar una vez más la seguridad del RPC
(Remote Procedure Call) de prácticamente todos los sistemas Windows, y
razón de ser del omnipresente virus MSBlaster. A partir de ahí,
surgieron muchas variantes del exploit, que hacían incluso más fácil
poder ejecutar código en sistemas ajenos sin necesidad de poseer
demasiados conocimientos. Poco después de la aparición del parche que
solventaba la vulnerabilidad, se volvió a descubrir otro fallo en el
mismo servicio RPC DCOM tan peligroso como el primero, que permitió a
otras variantes del virus expandirse de forma muy parecida, aunque las
víctimas hubiesen parcheado su sistema con la primera actualización.

A mediados de 2003, eEye alertaba sobre la gravedad de una
vulnerabilidad en la etiqueta OBJECT. Construyendo una página
especialmente manipulada, se podía ejecutar código o descargar
programas en los sistemas de los que la visitaran con Internet
Explorer. La página manipulada podía ser creada de tres formas
distintas, pero el parche acumulativo con el que Microsoft pretendía
solucionar el fallo sólo remediaba el error en uno de los casos. Se
dejaba el campo abierto para que el fallo pudiese ser explotado de
otras maneras igual de sencillas. Pasó casi un mes hasta que Microsoft
hizo público el enésimo parche acumulativo que permitía solventar los
errores que ellos mismos cometieron.

El caso de la etiqueta OBJECT resulta especialmente crítico, puesto
que Microsoft ha tropezado dos veces con la misma piedra. En febrero
de 2002, Greymagic advertía de una vulnerabilidad casi gemela que
permitía la ejecución de código gracias a la dichosa etiqueta.
Microsoft volvió a olvidar que las llamadas a esta etiqueta pueden
realizarse de varias formas, y programó un parche ineficaz, que creaba
una sensación de falsa seguridad al que hubiese actualizado su
navegador, pues seguía siendo vulnerable si se topaba con páginas
creadas con un poco más de imaginación.

La política de seguridad de Microsoft deja mucho que desear. En
seguridad, cualquier hueco descuidado, cualquier acción tardía o
ineficaz, marca la diferencia entre un sistema fiable y un producto en
el que realmente no se puede confiar. Internet Explorer lleva años
ganándose a pulso la fama de inseguro y esta trayectoria, aparte de
una considerable pérdida de cuota de mercado, deriva igualmente en un
sistema operativo inseguro por su grado de integración con Windows.

Internet Explorer se ha vuelto la gran pesadilla de seguridad de
Windows. Sus continuos problemas y necesidad de parcheo constante para
descubrir otros nuevos cada día, están degradando la imagen a
Microsoft que, lejos de mejorar, parece ser superado por la
complejidad del monstruo que él mismo ha creado y ya es incapaz de
controlar.

El uso de otros navegadores más ligeros, no integrados y de código
abierto, suponen la única solución para estar seguro mientras se
navega con Windows.
http://iblnews.com/noticias/01/123565.html

Preguntas similare

Leer las respuestas

#1 Alex GD
31/01/2005 - 22:38 | Informe spam
Escribe FIREFOX+fallos seguridad

en www.google.es


Saludos
Regards
Alex
Respuesta Responder a este mensaje
#2 Alex GD
31/01/2005 - 22:38 | Informe spam
Escribe FIREFOX+fallos seguridad

en www.google.es


Saludos
Regards
Alex
Respuesta Responder a este mensaje
#3 Alex GD
31/01/2005 - 22:38 | Informe spam
Escribe FIREFOX+fallos seguridad

en www.google.es


Saludos
Regards
Alex
Respuesta Responder a este mensaje
#4 Alex GD
31/01/2005 - 22:38 | Informe spam
Escribe FIREFOX+fallos seguridad

en www.google.es


Saludos
Regards
Alex
Respuesta Responder a este mensaje
#5 Anonimo
31/01/2005 - 22:45 | Informe spam
Por que poneis tanta atencion a los fallos de Internet
Explorer, si estais usando ya Firefox y os parece so
ejemplar pues no hay por que perder mas tiempo en algo
tan absurdo no crees?
I love FIREFOX


Internet Explorer añade un error más a su trayectoria
El parche creado por Microsoft destinado a solucionar el


problema
descrito en el primer boletín de seguridad de 2005,


puede ser burlado
gracias a la combinación de otras vulnerabilidades en


Internet
Explorer.

Lunes, 31 enero 2005
ASOCIACIÓN DE INTERNAUTAS, VÍCTOR DOMINGO
Con esta nueva demostración de ineficacia, Internet


Explorer no hace
más que añadir un error más en su ya triste trayectoria,


y confirmar
de paso su inutilidad como navegador de confianza. El


parche destinado
a solventar la primera vulnerabilidad del año admitida


por Microsoft
en su boletín MS05-001, aseguraba solucionar un fallo en


el objeto
"HTML Help ActiveX control" de Windows. Aunque la


vulnerabilidad fue
descubierta semanas antes de la descripción de este


fallo y
aparecieron programas capaces de explotarla, no fue


hasta el segundo
martes de enero que apareció el parche. Aun con tiempo


suficiente para
desarrollar un antídoto eficaz, el parche publicado sólo


bloquea un
conocido método de explotación de esta vulnerabilidad,


pero no la
soluciona por completo.

La empresa de seguridad GeCAD NET, ha asegurado que con


la combinación
de ésta y otra vulnerabilidad existente pero todavía no


hecha pública,
se puede crear un exploit válido para la vulnerabilidad


descrita en
MS05-001 incluso si el usuario está parcheado. Por lo


crítico del
descubrimiento (permite la ejecución de código en el


sistema) y la no
existencia todavía de solución, GeCAD NET no proporciona


más
información sobre él. Lo que sí se sabe es que ésto no


afecta a
Windows XP con Service Pack 2 instalado y con el parche


aplicado.

GeCAD demuestra así que Microsoft, en sus parches, es


capaz de
bloquear la ejecución del exploit popular del momento,


pero no atacar
el problema de raíz de forma eficaz para que ningún otro


software
maligno sea capaz de aprovechar el fallo encontrado. Es


en estos
momentos en los que los "parches" de Microsoft adoptan


por completo el
significado de la palabra, y se fabrican como


verdaderos "parches"
para tapar más bocas que agujeros en el software.

No es la primera vez que le pasa. En julio de 2004 lanzó


una
corrección de emergencia ante el grave problema que


suponía Scob o
Download.Ject, un ataque vírico que infectaba a usuarios


de Internet
Explorer que visitaran páginas web con el servidor HTTP


de Microsoft
comprometido. La combinación de vulnerabilidades en los


dos productos,
resultó en la posibilidad de ejecutar código en los


usuarios que
navegaran por páginas afectadas. Este fenómeno hizo


sonar la alarma
entre expertos en seguridad.

Este caso es especialmente relevante, porque en aquella


ocasión, la
corrección publicada no era más que un cambio de


configuración en el
navegador que no atacaba el problema de raíz, y


Microsoft recomendó a
los usuarios a que esperaran un parche definitivo en la


por entonces
inminente aparición del Service Pack 2 para Windows XP.

En octubre de 2003 salía a la luz un exploit universal


(válido para
todas las versiones de Windows independientemente del


Service Pack
instalado) que funcionaba aun en sistemas supuestamente


actualizados
con MS03-026. Era capaz de violar una vez más la


seguridad del RPC
(Remote Procedure Call) de prácticamente todos los


sistemas Windows, y
razón de ser del omnipresente virus MSBlaster. A partir


de ahí,
surgieron muchas variantes del exploit, que hacían


incluso más fácil
poder ejecutar código en sistemas ajenos sin necesidad


de poseer
demasiados conocimientos. Poco después de la aparición


del parche que
solventaba la vulnerabilidad, se volvió a descubrir otro


fallo en el
mismo servicio RPC DCOM tan peligroso como el primero,


que permitió a
otras variantes del virus expandirse de forma muy


parecida, aunque las
víctimas hubiesen parcheado su sistema con la primera


actualización.

A mediados de 2003, eEye alertaba sobre la gravedad de


una
vulnerabilidad en la etiqueta OBJECT. Construyendo una


página
especialmente manipulada, se podía ejecutar código o


descargar
programas en los sistemas de los que la visitaran con


Internet
Explorer. La página manipulada podía ser creada de tres


formas
distintas, pero el parche acumulativo con el que


Microsoft pretendía
solucionar el fallo sólo remediaba el error en uno de


los casos. Se
dejaba el campo abierto para que el fallo pudiese ser


explotado de
otras maneras igual de sencillas. Pasó casi un mes hasta


que Microsoft
hizo público el enésimo parche acumulativo que permitía


solventar los
errores que ellos mismos cometieron.

El caso de la etiqueta OBJECT resulta especialmente


crítico, puesto
que Microsoft ha tropezado dos veces con la misma


piedra. En febrero
de 2002, Greymagic advertía de una vulnerabilidad casi


gemela que
permitía la ejecución de código gracias a la dichosa


etiqueta.
Microsoft volvió a olvidar que las llamadas a esta


etiqueta pueden
realizarse de varias formas, y programó un parche


ineficaz, que creaba
una sensación de falsa seguridad al que hubiese


actualizado su
navegador, pues seguía siendo vulnerable si se topaba


con páginas
creadas con un poco más de imaginación.

La política de seguridad de Microsoft deja mucho que


desear. En
seguridad, cualquier hueco descuidado, cualquier acción


tardía o
ineficaz, marca la diferencia entre un sistema fiable y


un producto en
el que realmente no se puede confiar. Internet Explorer


lleva años
ganándose a pulso la fama de inseguro y esta


trayectoria, aparte de
una considerable pérdida de cuota de mercado, deriva


igualmente en un
sistema operativo inseguro por su grado de integración


con Windows.

Internet Explorer se ha vuelto la gran pesadilla de


seguridad de
Windows. Sus continuos problemas y necesidad de parcheo


constante para
descubrir otros nuevos cada día, están degradando la


imagen a
Microsoft que, lejos de mejorar, parece ser superado por


la
complejidad del monstruo que él mismo ha creado y ya es


incapaz de
controlar.

El uso de otros navegadores más ligeros, no integrados y


de código
abierto, suponen la única solución para estar seguro


mientras se
navega con Windows.
http://iblnews.com/noticias/01/123565.html
.

Respuesta Responder a este mensaje
Ads by Google
Help Hacer una preguntaSiguiente Respuesta Tengo una respuesta
Search Busqueda sugerida