SEGURIDAD | Noticias | 16 AGO 2002

El nuevo agujero de seguridad está en Windows no en Explorer, según Microsoft

La compañía ha hecho público un comunicado para confirmar que el agujero de seguridad aparecido hace tres días afecta al sistema operativo y no al navegador.
Miguel Angel Gómez
Microsoft ha salido al paso de los rumores sobre un agujero de seguridad en Explorer afirmando que éste, descubierto hace tres días, no afecta realmente al navegador sino a múltiples versiones de su sistema operativo. De hecho, fuentes oficiales de la compañía han informado de que la grieta de seguridad no está en CryptoAPI (CAPI), y que afecta a un buen número de aplicaciones y servicios Windows, no sólo a Explorer.
Asimismo, la compañía ha señalado que se encuentra trabajando en la solución al problema con parches para Windows 98, ME, NT4, 2000 y XP, si bien no ha podido confirmar cuándo podrían estar disponibles.
Según señaló Scott Culp, director del Centro de Respuesta de Seguridad de Microsoft, la grieta SSL ha sido descrita como un fallo de Explorer, pero afecta a todos los sistemas Windows. Se produce en el sistema de encriptación del sistema operativo, y por eso necesitamos parchearlo. Explorer es sólo un usuario de este sistema.
Según este responsable, el problema se encuentra en el proceso de certificados SSL. Allí, la información o no se encuentra en los certificados o se encuentra por duplicado, y allí es donde se encuentra el conflicto. El problema afecta a Explorer porque el navegador no tiene un sistema de encriptación propio y emplea el del sistema operativo.
Konqueror.org puso en su página de código abierto un parche en 90 minutos, pero fuentes de Microsoft aseguran que se trata de una solución parcial que no palia los problemas en otras aplicaciones.
La primera persona que informó sobre el fallo fue Mike Benham, que lo describió como un fallo indeterminado provocado por SSL. Este fallo, según su descubridor, abre una puerta, que denominó man-in-the-middle, que un atacante puede aprovechar para colarse en una sesión SSL y desencriptar mensajes que pueden contener información confidencial, como números de tarjetas de crédito.

Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios