Juan C. Garcia Cuartango descubre el mas grave agujero de

Anuncio
Juan C. Garcia Cuartango descubre el mas grave agujero de seguridad del Explorer
Asociación de Internautas
Juan C. Garcia Cuartango descubre el mas grave agujero de
seguridad del Explorer
Sólo por recibir el correo -sin abrirlo- o por entrar en una página web, se puede formatear el disco
duro
OLALLA CERNUDA
MADRID.- Antes de seguir leyendo, y si usted es usuario de Microsoft Explorer 5, debería
descargarse el parche que le proporcionamos un poco más abajo. Porque el matemático español
Juan Carlos García Cuartango -que trabaja como consultor para varias empresas y ya ha puesto
contra las cuerdas a Microsoft en varias ocasiones- acaba de descubrir un agujero de seguridad que
puede dejar temblando a millones de internautas.
Según Cuartango, el popular navegador de Microsoft, Internet Explorer 5, y los programas de correo
Outlook y Outlook Express, presentan una importante vulnerabilidad, que permite a un eventual
atacante realizar cualquier acción sobre el sistema de los usuarios de IE 5 por el mero hecho de
visitar una página web maliciosa o por leer on line un mensaje de correo, ya que basta con que la
opción 'vista previa' esté activada para que la vulnerabilidad funcione. El resultado: nada
esperanzador. El atacante puede formatear el disco duro en menos que canta un gallo.
No es la primera vez que Cuartango pone en un serio apuro a Microsoft, aunque, como ha hecho en
esta ocasión, el ingeniero madrileño siempre avisa a los técnicos del gigante informático de su
descubrimiento antes de hacerlo público, para que éstos puedan preparar un parche, como ha
ocurrido en este caso. Sin embargo, el parche sólo es válido para versiones del Sistema Operativo y
navegadores en inglés. Si se utiliza un Windows en castellano y el navegador en inglés, el parche no
funciona, aunque Microsoft ha asegurado que lo tendrá listo de nuevo en un par de días.
Según ha comunicado Cuartango en un artículo publicado en Kriptópolis , «el problema radica en
los archivos con extensión .EML. Este tipo de archivos contienen mensajes de correo en formato
'MIME Multipart', que es el formato utilizado para enviar cualquier mensaje de correo vía un
servidor SMTP. La pregunta es ¿qué tiene eso que ver con el navegador IE?. Pues bien; dicho
navegador interpreta ese tipo de archivos para visualizar el contenido de un mensaje de correo».
Adjuntando un archivo ejecutable, y mediante una manipulación a través de un trama embebida en
el cuerpo del mensaje, el navegador IE ejecutará el código contenido en el archivo adjunto. El
asunto parece complicado, pero en Kriptópolis han preparado una demostración de cómo funciona
esta vulnerabilidad .
Cuartango asegura que «en este caso, inhibir los scripts no soluciona el problema, sino que es
necesario descargarse el parche publicado por Microsoft. Existe otra solución, ya apuntada por
algún clarividente gurú en el anterior boletín de Kriptópolis, que consiste en la instalación del
reproductor Windows Media Player 7 (con el parche que corrige un importante error de dicho
software, que -por cierto- tiene un aspecto y unas prestaciones inmejorables), o del reproductor Real
Audio. Ésto también puede sonar incomprensible, pero es que el problema parece radicar en un
1/2
Juan C. Garcia Cuartango descubre el mas grave agujero de seguridad del Explorer
incorrecto tratamiento de archivos audio por parte del navegador IE, cuando el reproductor de
dichos archivos es el estándar Window Media Player 6».
Según ha declarado a ELMUNDO.ES Carlos Sánchez Almeida, otro miembro de Kriptópollis, el
agujero no sólo es «gravísimo», sino que además «supone la confirmación de la denuncia que
hacíamos hace una semana, cuando llamamos la atención de la problemática que pueda conllevar
que las administraciones públicas utilicen ordenadores con programas propietarios (como es el caso
del Explorer), que nadie sabe qué fallos o vulnerabilidades pueden ocultar».
En Microsoft han reconocido la grave vulnerabilidad, y han preparado un parche para impedir que
sus usuarios se vean afectados por el problema, que se puede descargar gratuitamente desde su
página web. De momento, no han hecho más comentarios.
Reproducido de EL Mundo
2016 ©Asociación de Internautas
2/2
Descargar