BAQUIA

Microsoft investiga otro posible grave agujero en el Explorer

Los programadores de Microsoft son como los obreros, andan siempre a cuestas con el cemento tapando agujeros. La empresa de Redmond investiga indicios que apuntan a que su popular Internet Explorer tiene una puerta abierta por donde los atacantes se pueden colar como operarios legítimos de un sitio web, consiguiendo acceso a nombres de usuario, contraseñas y números de tarjetas de crédito.

Aunque Microsoft dice que es pronto para juzgar la seriedad del problema, e incluso para confirmar su existencia, algunos programadores aseguran que el fallo amenaza la seguridad de muchos negocios, desde la banca por Internet hasta los comercios electrónicos.

El agujero del IE descubierto por los investigadores ha estado abierto unos cinco años, y podría permitir a un hacker malicioso interceptar datos personales cuando un usuario realiza una compra online o proporciona información en la Web. \”Si alguna vez has introducido datos en un site que funciona con SSL [Secure Socket Layer; protocolo para cifrado y autenticación de datos], es posible que alguien los haya interceptado\”, asegura en News.com Mike Benham, experto en seguridad independiente que publicó el \’hallazgo\’ en Security Focus el 5 de agosto. IE falla en la comprobación de la validez de los certificados digitales utilizados para demostrar la identidad en el sitio web, permitiendo una intrusión no detectada.

Esos certificados digitales son emitidos por empresas como VeriSign, y se utilizan en conjunción con el protocolo SSL. Según Benham, cualquier persona con un certificado válido por un sitio web dado, puede generar uno nuevo par emplear en otra página web. Benham afirma que las versiones 5.0, 5.5 y 6.0 del Explorer comparten el problema con los certificados. Otros navegadores, como Netscape, Mozilla u Opera, no son vulnerables.

Microsoft ha criticado a Benham por no contactar con ellos cuando descubrió el problema, en vez de darlo a conocer en Internet, a lo que el investigador responde que no lo hizo porque no le gustó la reacción de la empresa de Gates frente a las advertencias de otros colegas en el pasado.

Para la empresa de seguridad Symantec, el problema es \”bastante serio\”, aunque su complejidad reduce drásticamente las probabilidades de un ataque. Los \’malos\’ pueden utilizar el agujero para engañar al PC del usuario, haciéndole creer que visitan un sitio \’legal\’ donde pueden introducir sin problemas sus datos personales.

La nueva amenaza para el software de Microsoft coincide con el lanzamiento de la iniciativa Trustworthy Computing, con la que pretendía resolver los problemas de seguridad. Desde principios de año, los de Redmond han emitido 41 boletines de seguridad con parches para corregir fallos.

  • Más en NYT/AP e Internetnews


Compartir en :


Noticias relacionadas

Recomendamos




Comentarios