Error de diseño en IE permite el robo de informaciónUn investigador israelí, ha publicado información que demuestra como un previamente desconocido error de diseño en Microsoft Internet Explorer, puede ser utilizado por sitios web maliciosos para el robo de información sensible perteneciente al usuario.
Según el hacker israelí Matan Gillon, un agujero de seguridad en Internet Explorer, puede permitir a un sitio web, acceder a archivos en la computadora del visitante, donde se almacenan datos acerca de la relación del usuario con otros sitios de Internet.
Gillon demuestra en su sitio, cómo se pueden robar los datos de la máquina de la víctima, indexados por el Google Desktop Search, un software gratuito capaz de localizar contenidos en archivos de la computadora del propio usuario.
Sin embargo, el problema no es con el software de Google, el cuál posee varias medidas de seguridad incorporadas para asegurar que los datos guardados no puedan ser leídos por nadie más que el usuario.
La investigación de Gillon, demuestra que si un usuario de IE ya está logeado con cualquier servicio basado en Web (por ejemplo Gmail o Hotmail), una página web maliciosa podría ejecutar ciertas operaciones en la cuenta del usuario, tales como abrir sus mensajes de correo electrónico y reenviarlos al sitio web remoto.
Según Gillon, el problema ocurre porque el Internet Explorer no interpreta o filtra adecuadamente los archivos de hojas de estilo en cascada (CSS por las siglas en inglés de Cascading Style Sheet), un lenguaje creado para ayudar en el diseño y presentación de páginas Web, utilizado por miles de sitios en Internet.
El fallo no puede explotarse si se configura el Internet Explorer correctamente (solo los sitios que el usuario considere seguros podrán hacerlo):
Microsoft ha comentado que está investigando el problema, reconociendo que el exploit detallado por Gillon, potencialmente puede permitir a un atacante acceder a ciertos contenidos si se cumplen determinadas condiciones.
Más información:
Google Desktop Exposed: Exploiting an Internet Explorer Vulnerability to Phish User Information
http://www.hacker.co.il/security/ie/css_import.htmlIE Design Flaw Lets Hacker Crack Google Desktop
http://www.eweek.com/article2/0,1759,1895579,00.asp?kc=EWRSS03129TX1K0000614Publicado en:
http://www.vsantivirus.com/vul-ie-css-021205.htmCONFIGURAR INTERNET EXPLORER CORRECTAMENTE:1. Seleccionamos en el Panel de control, el icono "Opciones de Internet".
2. En la lengüeta "Seguridad", y luego en "Sitios de confianza".
3. Seleccionamos nivel "Mediano" (Media) o pinchamos en "Personalizar nivel" y seleccionamos "Restablecer configuración personal" a "Mediano" (Media).
Pinchamos en el botón "Restablecer" y confirmamos el cambio.
Pinchamos en "Aceptar".
4. Pinchamos en el botón "Sitios".
5. Desmarcamos la casilla "Requerir comprobación del servidor (https:) para todos los sitios de esta zona".
6. Agreguegamos todos los sitios que consideramos seguros y que visitamos a diario, por ejemplo:
http://windowsupdate.microsoft.comNota para usuarios de Hotmail: Para poder acceder a este servicio, es necesario incluir en la lista de "Sitios de confianza", las siguientes entradas:
*.msn.com
*.passport.com
*.passport.net
7. Pinchamos en "Aceptar"
8. Seleccionamos la zona "Internet".
9. Pinchamos en "Nivel Predeterminado".
10. Pinchamos en "Personalizar nivel".
11. Buscamos en la lista de Configuración, "Automatización" y marcamos la opción "Desactivar" bajo "Secuencias de comandos ActiveX".
12. Pinchamos en el botón "Aceptar" y confirmamos el cambio.
