📰 Artículos

Nuevo fallo de seguridad en Internet Explorer

CyNic 2 marzo 2002 02:33

⋮

De nuevo Microsoft nos sorprende con su software aunque no nos tendría que sorprender nada ya, ;). Se ha publicado un nuevo fallo de seguridad en el explorador de Microsoft, el fallo es bastante GORDO, ya que permite la ejecución comandos arbitrarios de forma remota.

El fallo se explota con una pagina especialmente construida, y aunque tengas la seguridad del Explorer al máximo (bloquea todos los scripts) es vulnerable.

Microsoft aun no ha publicado ningún parche para este fallo así que andar con cuidado, :)

El fallo afecta a las versiones 5.5 y 6 aunque tengan todos los parches, podes probar si sois vulnerables en estos dos tests, si lo sois se os abrirá el notepad

W2000 -> (link roto)
W98 #8211; WXP -> (link roto)

Podéis encontrar más información en esta web: security.greymagic.com/adv/gm001-ie/

💬 Comentarios

NetVicious 2 marzo 2002 04:07

⋮

Nu ze, mi IE6 + XP Proff no ha abierto el Notepad...

Será porque ayer me baje 7 parches del WindowsUpdate xDDD

IE6 en un mes 3 parches GOOORDOS, vamos bien...

Por abrir esta web http://www.sorci.es.fm/ y fijaros lo que sale a la izquierda...

Huele a otro boquete. Aunque no se si implicará algún problema GOORDO del estilo de poder ejecutarte todo lo que les salga de los webos.

✖

BocaDePez 4 marzo 2002 05:03

⋮

Netvicious asegurate q tienes en c:\windows el notepad.exe ia veras como tambien te peta xDD

✖

NetVicious 8 marzo 2002 06:17

⋮

Primera norma de un admin que administre un Windows

El directorio Windows no se debe de llamar Windows, ni WinNT ni alguno otro típico ;)

BocaDePez 2 marzo 2002 04:39

⋮

ke fuuuulll.... ke mal roioooo.... una pregunta tonta... ¿¿¿pa pillar lox parches de mocosoft hay ke usar el asistente este cochino del win xp o me vale con ir a la peich de mokosoft y seleccionarlos??? eske no se porke pero el asistente no me rula :P

BurnThePeople 2 marzo 2002 05:21

⋮

Uso w2k (español) y explorer 5.00 (español)

✖

CyNic 2 marzo 2002 09:18

⋮

"El fallo afecta a las versiones 5.5 y 6 aunque tengan todos los parches"

NO afecta a la version 5

test12345 2 marzo 2002 06:24

⋮

Yo he ido a la pagina esta i no me abre el notepad, solo me dice que no ejecutará comandos Ative X

Mi configuracion: Windows 2000 + SP2 + Update Pack de seguridad + Internet explorer 5.00 con todos sus parches correspondientes.

De todas maneras. Yo estaria tranquilo, instalaria Netscape i punto. No sé... cada dia salen ya fallos para todos los sistemas, hispasec encuentra 3 fallos diarios sin contar los virus. Señores es imposible mantener una maquian completamente segura, sea windows Linux o lo que sea. Aunque Linux tiene la gran ventaja -desventaja de que al ser codigo abierto es más fácil de encontrar un fallo y repararlo, mientras que en windows tendremos que esperar a que salga un parche en la pagina de microsoft.

✖

CyNic 2 marzo 2002 09:15

⋮

Solo eso, xD

CyNic 2 marzo 2002 06:37

⋮

Uso windows xp con IE 6 y si que se me abre el notepad, tarda un poco en cargar la pagina pero se me abre, lo e probao con win98 IE 5.5 y tambien se me abre!!, hay dios, donde iremos a parar ....

infoMAN 2 marzo 2002 06:45

⋮

Usando Mozilla en GNU LINUX DEBIAN, me sale un mensaje que dice que se me abrira el notepad ubicado en c:|windows/notepad.exe jeje. A ver si el que ha puesto la noticia se ha confundido y es al reber . En serio. Como es lógico no se me ha abierto, faltaria mas jeje
El trabajo de microsof es sorprendente. Lo que ha conseguido en unos pocos años, increible. Ha convencido a toda una masa de usuarios de que los fallos de suguridad son la mas común del mundo, de que deben instalar y reinstalar el S.O cada vez que un programa se carga el sistema ,etc. NO digo que otros sistemas operativos no tengan fallos
,pero del calibre de microsoft nunca los he visto. Bueno que cada uno hago con su vida y con su ordenador lo que quiera, que me enrollo mucho jeejeje BYE.

BocaDePez 2 marzo 2002 08:32

⋮

No se abrira sino teneis un directorio llamado c:\windows y dentro de el el notepad, yo tengo XP con todos los parches y me lo ha abierto, el de windows 98 que es el que esta en c:\ pero vamos que sino lo teneis en ese directorio no pasara nada

BocaDePez 2 marzo 2002 09:02

⋮

he probado con w98 y ie5.0 aunq nose si afecta al ie5 pues en el articulo pone q es un fallo de ie5.5 y ie6, xo en fin. sto es lo q m ha salido: con un nivel de seguridad medio o medio_bajo (herramientas_Opciones_Seguridad) no deja usar controles activex, x tanto x ahi ya nada. con un nivel de seguridad Bajo pide aprobacion para instalar y ejecutar file:/c:windows\notepad.exe o algo asi. x tanto al pedir aprobacion tp hay peligro.

no se si el ie5 sta exento d ste error, xo si el error era este, no m parece tan grave cm se apunta en el articulo.

✖

CyNic 2 marzo 2002 09:13

⋮

Este fallo solo afecta a las versiones 5.5 y 6, a la 5 pide autorizacion pero a la 5.5 o 6 aunque tengas el nivel mas alto de seguridad no pide autorizacion, me e instalado todos los parches hasta la fecha, e revisao el windows update, y sigo teniendo el fallo, para los que no les funcione el bug es probable que sea por la ruta del notepad, podeis probar este otro test que da a elegir el comando a ejecutar y le poneis la ruta de algun programa de vuestro pc y aver que tal, ;), saludos

El test -> (link roto)

✖

BocaDePez 2 marzo 2002 13:25

⋮

jeje eso me temia. weno pos a esperar parche. x cierto q raro q no venga nadie criticando a ms y arguyendo las maravillas del soft libre

✖

BocaDePez 3 marzo 2002 07:51

⋮

Pobrecitos, que nadie venga a criticar M$ que con cojonudos porque sus programas los uso yo y todos mis coleguis.
M$ hace bien todos sus programas, están tontos todos esos que proclaman las maravillas del soft libre. Seguro que es porque tienen envidia porque no tienen dinero para gastarse 20 mil pelas en el último windows que sale, y tienen que conformarse con esa mierda de soft libre que se llama Lunix o algo así.
Que sería del mundo sin M$, hay que ver la gran cantidad de gente mala que se pasa el día criticándolos, no se dan cuenta de que es una gran compañía que vela por nuestros ordenadores en todo el mundo.
IRONIC MODE OFF

✖

BocaDePez 3 marzo 2002 09:28

⋮

me parece bien q digas q tiene codigo abierto, q sabes como funciona gracias a esto, q te compilas tus programas, q es mas seguro en manos de buenos admins o q puede ser mas estable en segun q condiciones, xo no soporto ver q criticais ms pq no es gratis, cd 9 de cada 10 (o incluso mas) de los usuarios domesticos no compran windows, solo lo tienen copiado. m parece una estupidez decir lo del precio. no kisiera fomentar la pirateria ni nada x el estilo xo es lo q hay y m parece una xcusa demasiado a mano, plantea algo distinto anda, q el precio ta ya mu visto

✖

BocaDePez 3 marzo 2002 10:52

⋮

✖

BocaDePez 3 marzo 2002 15:02

⋮

CyNic 3 marzo 2002 15:35

⋮

"una gran compañía que vela por nuestros ordenadores en todo el mundo"

M$ vela por nuestros ordenadores? juas juas, el unico objetivo de Microsoft es agrandar sus arcas y les importas una mierda tu y tus coleguis, si fuera como tu dices el primer dia que salio el bug ya tendrian que poner el parche, xque creo que con sus mas de 5000 programadores lo tendrian que aver sacado ya.

"no tienen dinero para gastarse 20 mil pelas en el último windows que sale, y tienen que conformarse con esa mierda de soft libre que se llama Lunix o algo así"

Me gustaria saber si tu te as gastado 20 talegos en el win, xque lo mas seguro es que lo tengas pirata como la imensa mayoria, tener un equipo con windows y todos los programas originales vale un paston con linux no tienes ese problema puedes tener todas las aplicaciones sin pagar un puto duro y no estas infringiendo la ley, tu crees que usarias windows si fuera imposible piratear en windows, que tuvieras que pagar por todos los programas, creo que solo con el office ya mandarias a tomar por culo a M$, estoy deacuerdo que en el ambito domestico aun le queda un poco para llegar al nivel de M$ pero poco a poco linux avanza ya que es un proyecto libre donde cada uno pone su granito de arena y sin animo de lucro, cuando la comunidad linux crezca mas y haya mas grupos de desarollo y saquen mas soft para uso domestico ya veremos entonces, porque esto ya lo uele M$ y Linux ya le a hecho mucho daño a M$, en el ambito de internet linux DOMINA con creces a Mocosoft, la mayoria de servers corren Linux con el Apache el servidor numero 1 en el mundo (proyecto libre), que quieres que te diga, si fuera una mierda creo que las mayores empresas no darian apoyo a linux y este no es el caso ya que empresas como IBM o SUN apoyan a linux.

✖

BocaDePez 3 marzo 2002 16:02

⋮

TuxRulez 4 marzo 2002 13:39

⋮

Si te has parado alguna vez a leer minimamente algo sobre seguridad (cosa que dudo bastante) verás que todo el software de m$ es montones de veces más dificil de auditar que cualquier otro en el que se pueda disponer de las fuentes.
En un programa donde puedes ver el código no hay secretos ni sorpresas, los bugs aparecen (todos los programas tienen bugs) pero si dispones de fuentes puedes parchear el problema de inmediato y recompilar tu mismo, no hace falta esperar a binarios en el idioma X.
En el software cerrado los fallos se descubren a costa de hacer muchisimas pruebas, es como buscar una aguja en un pajar, y reza para que todos los fallos los encuentre antes m$ o alguien como Cuartango que un programador de virus, porque si no tendrás 'bellezas' como el red code que aun se estrella todos los dias varias veces sobre mi apache.
Los arreglos de bugs llegan tarde y mal, y en el caso de que se necesite instalar una versión en castellano puede haber una diferencia de 6 meses durante los cuales tu 'bonito' guindors será vulnerable como un colador, esa es realmente la diferencia entre usar Linux y guindogs.
El paradigma de m$ de ocultar sus fallos y su despreocupación le ha llevado a hacer los programas con más bugs de la historia.

BocaDePez 3 marzo 2002 15:10

⋮

bueno, pues con xp prof y ie6 se abre

BocaDePez 2 marzo 2002 09:05

⋮

Acavo de ir al Windows Update me instalado todas las actualizaciones criticas que avia y me sigue abriendo el notepad!!!, supongo que deve de influir la configuracion del explorer, tarda un poco en abrirse eso si, pero coño se abre!

BocaDePez 2 marzo 2002 15:07

⋮

A mi si me afecto la ejecucion del ejemplo...

Mi configuracion es Ie6 y Win-ME....

No estanto un parche por que Ok se soluciona veamos que dice ahora MS sobre este fallo seguro que inventa algo nuevo...

Saludos.-

Dranor 2 marzo 2002 21:25

⋮

soy usuario del Opera y estas cosas no me pasan a mi :P

Xarod 3 marzo 2002 03:56

⋮

Una solución espartana para este tipo de agujeros, que permiten la ejecución de comandos, es instalar el windows (bien sea el 98, o el 2000 o el XP) en una carpeta que no sea la que escoge el propio windows (/windows o /winnt). El fallo sigue estando, pero al menos va a ser mucho más difícil que te afecte.

✖

BocaDePez 3 marzo 2002 04:36

⋮

Lo mejor es instalar el Windows, sólo puedes con los NT, en un disco diferente de C, así te aprovechas de que nadie se imagine que lo tengas en tu unidad f: como lo tengo yo jejejeje, soy un perro, :B.

barenaked 3 marzo 2002 16:54

⋮

No creo que sea dificil encontrar el path de la carpeta de windows en tu sistema... ¿no? A ver q dicen los q entienden... yo creo q hay aquello de c:\{system-root}\ o algo asi era?

BocaDePez 3 marzo 2002 12:02

⋮

Con la seguridad media del exporer no pasa nada porque no abre los activeX no firmados.

Fin del problema.

✖

CyNic 3 marzo 2002 14:05

⋮

Aunque tengas el nivel de seguridad al maximo = afecta

ximo1 3 marzo 2002 14:24

⋮

cuando piensan publicar el parche en microsoft?

tengo q hacerlo yo? xD

en microsoft cuando les llega la informacion de algun error no la publican y se toman su tiempo para corregir el fallo pero ¿q pasa si sale el fallo? una empresa asi, que me ha cobrado nosecuantasmilpesetas por el puñetero XP tiene la obligacion de corregir los errores nadas mas surjan. Yo acabo de ir a la pagina del windows update y no hay nada de nada. No se cuanta gente trabaja en microsoft (seguro que mucha) pero ya han tenido tiempo y tiene recursos suficientes como para solucionar un bug q encima es sencillisimo de explotar y x lo tanto mas peligroso.

arcenegui 3 marzo 2002 17:10

⋮

ie6+win2000 prof.

MurdockDj 3 marzo 2002 17:39

⋮

Volvemos a la rutina, Microsoft nos sorprende con un nuevo bug en su explorer, no obstante tenemos que tener en cuenta, una ley que se aplica a todo.

Un objeto, utensilio, herramienta... a más funciones tiene o más posibilidades tiene, más probabilidades tiene de hacer las cosas mal o no tan bien como haria una cosa que esta diseñada solo para ejercer una función.

Con esto quiero dejar claro, que me parece hasta cierto punto normal, que explorer tenga muchos mas bugs que netscape, mozilla o opera, ya que por la misma norma, ninguno de los anteriores soporta la mitad de funciones que explorer. No es que diga que son malos ni nada por el estilo, pero explorer es un navegador que hace de todo, es simplemente impresionante la cantididad de posibilidades a la hora de programar.

Y como en los coches, a mas caballos sobre un mismo motor... mas averias no ?

En fin, que una de 2 o bien estas a la ultima y disfrutas navegando, o bien te limitas a navegar como si por un libro se tratase.

Saludos.