Quedate en casa



Archivado en Noticias, Seguridad

Microsoft publica el parche para su último fallo de seguridad


La semana pasada informábamos de un fallo de seguridad en el Microsoft Internet Explorer. En concreto se trataba de un fallo que permitía el acceso a las cookies de los usuarios. Pues bien, Microsoft acaba de publicar el parche. El fallo permite a un supuesto atacante acceder a la información de las mismas e incluso poder modificarla. Para conseguir esta información se necesitaría la simple visita del usuario a una URL concreta o abrir un correo malicioso en formato HTML.




La noticia ha traído cierta polémica porque Microsoft afirma que conocía el fallo desde hace algún tiempo, pero que no lo había publicado hasta no tener el parche.

Sin embargo, se le han adelantado. La empresa de seguridad Online Solutions publicó el fallo hace unos días y mantuvo expuestos a los usuarios del Explorer 5.5 y 6 durante todo este tiempo a falta de la respuesta de Microsoft.

Vulnerabilidad del Opera

Pero no sólo los fallos afectan al Explorer y Opera no se libra. El problema afecta las versiones Opera 5.12 de Windows, Opera 5.0 de Linux, y probablemente también versiones anteriores.

El fallo permite a un script en una página, acceder a otras páginas (y sus propiedades) en otro dominio.

Es un riesgo muy parecido al de las cookies en el Explorer. En el caso de Opera, el 'bug' permite la lectura de enlaces desde el caché y el historial del usuario, con las implicaciones que esto tiene en la seguridad.

En muchas ocasiones, en el caché se conservan las cookies, los enlaces y el contenido con información confidencial (usuario/contraseña) recién usada en algúna página web.

Por ahora no hay parche para este fallo, pero se recomienda desactivar el JavaScript o, como recomienda Opera, usar la 'Use cookies to trace password protected documents' (usar cookies para rastrear documentos protegidos por contraseñas), lo que impide que las páginas con contraseñas queden guardadas en caché.

Reproducido de Cibernauta

pdfprintpmail