|
Controlado desde el
19/10/97 por NedStat
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro
visitante número desde el 12 de agosto de 1996
| Una falla más peligrosa que el Melissa | ||
|---|---|---|
Sábado 28 de agosto de 1999. Una falla más peligrosa que el Melissa ¿Al fin podemos decir que no es necesario que abramos un archivo adjunto a un mensaje para que una acción malévola ocurra a nuestro PC?. La información dice que un equipo de científicos han descubierto un problema en decenas de millones de computadoras corriendo Windows, que permiten que alguien tome el control de un PC simplemente enviando un mensaje vía e-mail. Usted se preguntará con razón, ¿otra vez con lo mismo?. Este agujero de seguridad, presente en la mayoría de las versiones de Windows 95 y todas las versiones de Windows 98, permitiría ocultar cierto código malévolo en un mensaje electrónico o página Web que puede llegar a modificar archivos, formatear una unidad de disco duro, o ejecutar cualquier comando del DOS. "Es el virus Melissa, pero aun peor," dice Dan Wallach, profesor auxiliar de informática en la Rice University, uno de los miembros del equipo. "El Melissa exigía que alguien pulsara el botón de Aceptar. Esto ya no es necesario". Microsoft ha reconocido esta falla, y esta semana, después de que los investigadores avisaron a la compañía, ha liberado un parche que arregla el problema. Las versiones afectadas de la "Microsoft Virtual Machine (VM)" son algunas de las contenidas en el Internet Explorer 4.0 y 5.0. Pero las decenas de millones de usuarios de Windows que no han bajado el parche y no han desactivado Java permanecen vulnerables a cualquiera que conozca los detalles técnicos del problema. El riesgo es para los usuarios de Windows que leen e-mail con programas como Outlook, Outlook Express, y Eudora de Qualcomm, y que usen software de Microsoft, con versiones recientes de su máquina virtual Java (como la que instala el Internet Explorer 5). ¡Un caballo de Troya enviado vía e-mail se puede ejecutar en cuanto el mensaje sea visualizado, sin advertencia alguna!. Un sitio Web visitado con el Internet Explorer 4.0 o 5.0 puede ser también peligroso si los usuarios pulsan un botón en un sitio con código Java maligno. Los browsers de Netscape, como el Navigator, son inmunes a este ataque. Este ataque trabaja enviando repetidamente un mensaje específico a un thread (hilo) de Java, aprovechándose de las características del lenguaje. Normalmente, la máquina virtual Java de Microsoft impide que un programa pueda ejecutar funciones peligrosas. Pero los investigadores mostraron a la publicación "Wired News" un programa que no se rinde en sus ataques. Cada prueba toma escasos milisegundos, y en menos de un segundo, la seguridad de Java es vencida. Gracias a esa falla de programación en la librería Java de Microsoft, el programa hostil posee todos los privilegios, y puede, esencialmente, hacer cualquier cosa que desee. Un boletín de Microsoft dice que el problema, permite a cualquiera "crear, borrar o modificar archivos en la computadora del usuario, formatear el disco duro, enviar datos a una página Web, o tomar cualquier otra acción deseada". El parche correspondiente se puede bajar de http://www.microsoft.com/java/vm/dl_vm32.htm El problema parece originarse en el código Java proporcionado por Sun a las distintas compañías que lo usan, incluso Microsoft. Pero los expertos de seguridad dicen que Sun y Netscape ya han arreglado el problema en sus propias aplicaciones Java. Para protegerse, debe saber primero si usted tiene una versión vulnerable. Desde una ventana MS-DOS, teclee: JVIEW y pulse Enter. En la parte superior verá algo como: "Cargador de línea de comandos de Microsoft (R) para Java Versión 5.00.xxxx", donde xxxx es la versión actual. Si usted tiene 5.00.1234 su versión es la 1234. Microsoft dice que las versiones inferiores a la 1520 (ésta incluida) no están infectadas. Si tiene una superior usted tiene esa vulnerabilidad. El patch la dejará como 5.00.3186. Mientras tanto, usted puede hacer lo siguiente: para desactivar Java en el Outlook, vaya a "Herramientas", "Opciones", "Seguridad", y en "Zona de seguridad" marque "Zona de seguridad restringida" y de al botón de "Aplicar". Luego, desde el "Panel de control" de Windows (Mi PC, Panel de Control), "Opciones de Internet", vaya a "Seguridad", pinche en "Sitios restringidos", "Personalizar nivel" y en "Secuencia de comandos Active X" marque la opción "desactivar", pinche en "Aplicar" y luego en "Salir". |
||
