|
Microsoft
no soluciona problema de seguridad.
Microsoft adoptó hace pocos meses la política
de publicar parches acumulativos de seguridad el primer martes de
cada mes. Se homogeneizaba así una caótica situación,
que llevaba a Microsoft día sí, día también,
a crear arreglos y parches para la mayor parte de su software. La
última publicación mensual, no incluye solución
para un problema calificado como crítico y que está
siendo explotando de forma masiva.
Bill Gates ha cerrado los ojos ante una nueva vulnerabilidad
del omnipresente Internet Explorer, obviando la inclusión
de una solución en el último parche acumulativo. Un
tal Zap The Dingbat, descubría en Diciembre de 2003 cómo,
añadiendo un simple carácter a una URL se podía
cambiar su apariencia por completo. La diferencia es que no se modificaba
sólo es aspecto, sino también la barra de estado que,
aunque la dirección se muestre camuflada, siempre refleja
el lugar exacto donde se va a dar el salto. Muchos usuarios confían
en lo que indica esta barra como seguro o indicativo de hacia donde
van a dirigirse. Con un simple carácter, la barra de estado
mostrará lo que el hacker malicioso quiera que muestre.
Otros navegadores que cometían el mismo
error, fueron modificados convenientemente a los pocos días
de conocerse la vulnerabilidad.
El primer martes de Enero, Microsoft ha publicado
un trio de parches para MDAC, Exchange Server 2003 y el filtro H323
que se corresponden con los avisos MS04-01, 02 y 03. En esta publicación
no se hace referencia al problema descrito más arriba, obviándolo
por completo y abandonando a los indefensos usuarios del navegador.
Las reacciones no se han hecho esperar, y ya han
aparecido las primeras técnicas de phishing que se aprovechan
del error. En la madrugada del sábado al domingo 11 de Enero,
se detectó un envío masivo de e-mails que simulaban
ser un mensaje del Banco Popular solicitando a los clientes dirigirse
a una dirección de su sitio web para mejorar la seguridad
de sus cuentas. El enlace, que en apariencia conectaba con el dominio
bancopopular.es, en realidad utilizaba la vulnerabilidad de IE para
engañar a los usuarios y hacer que éstos introduzcan
sus datos en la página web de los estafadores.
Fuera de nuestras fronteras, los clientes de Bank
of America y Citibank ya se han visto afectados por el envío
de correos basados en la misma técnica y aprovechando la
misma vulnerabilidad.
Microsoft no se ha pronunciado oficialmente sobre
cuándo pretende solucionar el problema.
Más información y referencias:
Timo a clientes del Grupo Banco Popular de España
www.vsantivirus.com/scam-grupobanco.htm
No relief from Microsoft phishing bug
http://www.theregister.co.uk/content/55/34863.html
|
