BAQUIA

Microsoft reconoce el peligro del agujero del Gopher

Aunque quizá un poco tarde —Online Solutions, la empresa que descubrió el fallo, se puso en contacto con Microsoft el 20 de mayo— el fabricante de software ha enviado una alerta \”crítica\” de seguridad a cerca de un agujero en el Internet Explorer que podría permitir a los hackers malignos utilizar el arcaico protocolo de Internet Gopher para colarse en la computadora.

Parece que el problema de seguridad es aun más grave de lo que advirtió la empresa finlandesa Online Solutions, ya que afecta también a algunos programas de Microsoft para servidores. La empresa de Bill Gates estima que la amenaza es crítica para las computadoras que tengan instalado las versiones 5.01, 5.5 y 6.0 de su Internet Explorer y para los servidores de Internet o intranet con el Proxy Server 2.0 o el ISA Server 2000. Las versiones más antiguas de los programas, tanto de los navegadores como del software para servidores, pueden también ser vulnerables, aunque Microsoft no lo ha comprobado \”porque en las versiones previas no se ofrece asistencia\”.

Aunque con la llegada de HTTP el protocolo Gopher prácticamente desapareció, el Internet Explorer lo acepta, y puede ser utilizado para provocar un desbordamiento de la memoria buffer y exponer la computadora a un servidor que le cuele código contaminado, utilizado por un cracker para controlar la máquina.

El agujero es más peligroso de lo que pueda parecer, puesto que no hace falta conectarse a un servidor Gopher para ser \’atacado\’: el código insertado en una página web o en un correo HTML es suficiente para redirigir la computadora a ese servidor. En los servidores, el impacto puede ser dramático, ya que el asaltante puede tomar absoluto control sobre el equipo: el cracker puede formatear el disco duro o crear nuevas cuentas de administración para acceder al servidor como si fuera un usuario legítimo, con acceso total a las aplicaciones y servicios de la red. Sin embargo, la configuración de los equipos permite disminuir o acabar prácticamente con la amenaza, ya que hay una opción para bloquear el acceso a servidores Gopher.

Se esperaba, ya que Microsoft recibió el aviso el 20 de mayo y la noticia del fallo de seguridad apareció en varios medios a principios de junio, que la siguiente comunicación de Microsoft fuese la publicación del parche en la Web. Sin embargo, de momento, sólo ha reconocido el problema. Seguiremos esperando…

  • Más en Wired y News.com


Compartir en :


Noticias relacionadas

Recomendamos




Comentarios