Categorías
Seguridad

CTRL + hack

Se encontró un nuevo problema de seguridad y afecta a TODAS las versiones del Internet Explorer de Microsoft. Al apretar la tecla CTRL sumada a otra tecla, se corre el riesgo de permitirle acceso a tu rígido a un hacker.

Microsoft ha señalado que el problema descrito no les compete según su política de seguridad, por lo que no tiene contemplado crear un parche o código reparador para Internet Explorer.

El alerta
La compañía Euro Trust 112 distribuyó un alerta de seguridad luego de haber identificado una vulnerabilidad en el programa Internet Explorer. El problema consiste en que intrusos pueden valerse de un servidor web para descargar archivos locales desde el PC del usuario del programa y, por ende, acceder a información sensitiva.

La debilidad se ocasiona por un script en una página HTML, que puede ser ejecutado con menos restricciones que lo normal, al inducir al usuario a iniciarlo presionando la tecla Ctrl. Así, el script puede ser usado para acceder al disco duro de la víctima, sin que esta sospeche lo que está ocurriendo.

El problema
Internet Explorer permite, al igual que muchos otros programas, usar la tecla Ctrl en combinación con otras para ejecutar funciones de uso corriente. (Ej.: Ctrl+P para imprimir una página, Ctrl+N para abrir una nueva ventana, Ctrl+D para crear un sitio favorito, Ctrl+W para cerrar la ventana activa, etc.)

“Al llegar a un sitio web en que esté instalado el script en cuestión, el uso que el visitante haga de las combinaciones de teclas puede resultar en que, sin sospecharlo, esté enviando archivos locales de su PC a este sitio”, explica Euro Trust 112.

Y el gran problema es que varios programas usan carpetas estándar del sistema para guardar listas de direcciones o de contraseñas, o información del sistema, que de esta forma queda totalmente expuesta para intrusos

La duda
Microsoft, dice que no es su problema y no piensan arreglarlo; pero creo que en este caso encontrar una solución es difícil, porque el mismo agujero de la tecla CTRL, también es aplicable a cualquier otra tecla, puesto que onKeyPress puede referir a cualquier tecla del teclado

Entonces habría que deshabilitar el Active Scripting o prohibir combinaciones de teclas, no se me ocurre otra solución.