La tecla CTRL nuestra peor enemiga, fallo en IE

A ver, segun he leido en alertaantivirus.es, uno de los reportajes que ponen(que es una redireccion a otra pagina), indica un fallo de seguridad grave en mozilla y en netscape. Ademas, no hay programa que se libre de ello. Fijate en los antivirus por ejemplo. Algunos virus se cepillan el panda y el mcaffey. Tambien algunos se cepillan el firewall. Y la mayoria tiene bugs(segun lo que he leido), asi que no digamos que se pongan uno u otro.

Estamos predestinados al fallo general del sistema.jejeje.

Lo unico que me parece curioso es que hayan tardado tanto en descubrir un fallo asi. Coño, solo es pulsar una tecla, y un script ya trabaja en su tema.

No se, pero esta visto que hagan lo que hagan, siempre habra alguien que se cepillara la "supuesta" seguridad.

Yo por lo pronto seguire usando explorer, porque para mi, hasta ahora, me parece mas rapido y una interfaz mas comoda. Pero eso es cosa mia.

Es solo una humilde opinion.

Bye-.Jhonny

Pedazo de bug..

En cuanto a lo de hacer el parche, generalmente los que descubren el bug les pasan la info a M$ con la esperanza que lo arreglen, pero M$ pasa bastante del tema y al final el que descubre el bug pasadas unas semanas lo hace público para forzar a M$ a que tape el agujero.

El que descubre el bug no tiene porque hacer el parche en el mundo Windows, más que nada porque no tiene los fuentes del mismo. En el mundo del software libre es diferente ya que si el que lo descubre no pone la solución otro que si que sepa la pondrá al poco tiempo.

Vaya kk de bug, no mextraña q microsoft pase de arreglarlo, si solo es eso pues diria yo q el servidor es subnormal si acepta cierto tipo de ficheros (virus, troyanos etc).

PD: vease q dice "posibilidad" (alguien lo ha probado y/o visto?). Ah y viva la publicidad entre lineas!! (no podeis ser mas objetivos?)

Ein? Pulsar CTRL reduce mi nivel de seguridad? y MAYS no? mande? aunque tenga mi exploter con todos los parches puestos???

A mi me parece raro... posi... el script de marras sólo podrá aprovecharse de explorers indefensos, digo yo.

Me parece mala idea en el aspecto de que ctrl se puede pulsar por error, pero que haya una forma en el teclado de reducir la seguridad, tampoco me parece mal. Para desarrolladores es bastante buena idea.

Alguien puede decirme un link a alguna pagina tecnica en donde hablen de este supuesto bug. Es que me parece muy raro el bug en cuestion y no confio de la validez de la informacion cuando hablan de informatica en ciertos medios....

¬¬ esta es una de esas noticias que SI, que te dejan de una forma bestial... joder pulasr control... no, si dentro de poco nos diran que apretando cualquier tecla vamos a ejecutar un virus modernisimo, que nos va a formatear el disco duro, cremar todos los pci i la placa, reventarte el procesador i cortarte la polla... entonces quine coño va a teclear lo que quiere buscar en google??

...que van 3 páginas con ésta en la que veo la noticia y creo que es aquí donde alguien me lo puede aclarar ;)

Esto no es como un script anti click derecho?

Es decir, que se activa ante un evento, solo que en lugar de en un click derecho, es al pulsar ctrl...como si le quieren poner la tecla "A" ?

Total, que no existe problema para TODAS y cada una de las páginas que veamos? solo para las que incluyan ese script pillín?

Osea, que solo habría peligro en páginas...de "dudosa fiabilidad", o en servidores infectados por un hipotético virus que incluyera el script en todas las páginas que hospedase?

La duda me roe y me corroe...xD

Saludos :)

A ver... Mpfs!!! insh!! arf! arf! arf!

clonk clonk clonk!!! sreek sreek sreek!!!

giiiiiiiii....... uf!!! iiiiiiiih..... arf!!!

CRACK!!!!

Por fin!!!! arf!!! lo que me costo!!! pero ahora con ayuda del kit de herramientas de encofrador que acompañan al Windows2003StrarTrek Edition, he conseguido arrancar las teclas de control. Total... como prometen que nunca se va a colgar... no tendré que usar CTRL + DEL + SUP!!! que guay, que desparrame.

yo siempre he usado desde mis principios de usar Internet, desde mi añorado 14.400 Netscape utilizando lo menos posible Explorer no sé porque nunca me acabó de gustar, asi que ya veis. Pa que luego digan...

mozilla.org/en-US :D

sm

sencillo hacer un script que active lo que te de la gana al pulsar "any key", pero muy tonto al que le funcionase ya que con unos minimos de configuración queda resuelto el problema, osea: si dejas todo "abierto" en el IE aceptando todo lo que te venga, obviamente este y otros scripts malignos te harían virguerias en el PC, al igual que en Linux o Mac o lo que sea, se trata del juego del gato y el ratón.

Osea que la base de la noticia es cierta, pero no es que se trate de un Bug del IE, es sencillamente una idiotez más de quién la haya propagado, elemental que Microsoft los haya mandado al peo.

Solo basta que se esté visualizando una página Web maliciosamente modificada para que esta acción permita mediante un código en JavaScript descargar en el pc de la víctima un archivo.

OJO: EN CUALQUIER TIPO DE NAVEGADOR (NO SOLO EN IE)
La secuencia de acontecimientos es la siguiente:
1. Cuando la víctima pulsa la tecla CTRL, se dispara por defecto un evento llamado OnKeydown, que cambia la tecla pulsada por el código correspondiente a la tecla 'V', dando como resultado una operación de 'pegado' con menos restricciones (cut and past, copiar y pegar).
2. El contenido del portapapeles es alterado para asumir el nombre de un archivo, y el foco es cambiado a un formulario oculto en la página que permite la descarga de estos. Luego, una operación de pegado se lleva a cabo en el formulario llenando un campo con el nombre del archivo a descargar, acción normalmente bloqueada por las restricciones de seguridad.
3. El formulario de descarga es enviado automáticamente (es una operación completamente legal del JavaScript), sin advertencia alguna.
Es importante tener en cuenta que no es necesario conocer la ubicación exacta del archivo local ya que es posible referirse a cualquier archivo en la forma "..\nombre_de_archivo".
Además de todo esto, si el archivo local "..\LOCALS~1\TEMPOR~1\CONTENT.IE5\index.dat" es enviado, se puede obtener el camino exacto a los archivos temporales de Internet.
Con esta información, un archivo en formato de ayuda compilada (.CHM), puede ser descargado y ejecutado por medio de la función showHelp() haciendo uso de una antigua vulnerabilidad. El archivo .CHM puede contener instrucciones para ejecutar cualquier programa.
Microsoft ha sido avisado del problema, pero no hay parche disponible ni aparentemente lo habrá porque no lo considera un riesgo para la seguridad, a pesar de la opinión de quienes han experimentado con un 'exploit' disponible en Internet, demostrando su factibilidad.
Los expertos sugieren como precaución deshabilitar en Herramientas, Opciones de Internet, Seguridad, Internet, Personalizar nivel, la opción 'Automatización', 'Permitir operaciones de pegado por medio de una secuencia de comandos'.
repito: este fallo puede ocurrir también en cualquier navegador que soporte JavaScript (prácticamente todos).

E decido, muy a mi pesar, que abía que llamar vuesta atención sobre este extemo, porque algunos todavía no an aprendido a escribir.

Ay que joderse...

Vaya por delante que no me considero un usuario sino un sufridor de los productos Microsoft. Pero esto huele a bulo.

Vamos por partes, segun lo poco que he podido leer (porque no hay más):

1- La Técnica:
Para mandar datos a un servidor desde el navegador (sea el que sea) la única forma es a través de un formulario. Supongamos que alguien con malas intenciones logre con un formulario oculto recoger datos de nuestro PC (esta es la parte más compleja del asunto).

Para mandar estos datos está el evento Submit, que lo normal es que se active con un botón, pero que puede usar cantidad de eventos proporcionados por Javascript para redirigir al envio de datos. Entre ellos: OnBlur (cambio de campo de formulario) , cualquier clic o rollover en un link o imagen de la página, OnUnload (al salir de la página),... (y como 20 más)

La pulsación de teclas en Javascript depende de los eventos Keypress i Keydown que no estan más relacionados con el evento Submit que cualquier otro de los mencionados. El uso de CTRL es una anécdota, como puede ser el uso de A, Z o la tecla que a uno le salga de los webos.

Si consideramos que el uso de CTRL para hacer un Submit es un bug, tambien debemos considerar bugs TODOS los eventos de JavaScript, con todos se puede hacer submit. I A LA HOGERA CON EL.

2- La notícia
Que conyo es "Euro Trust 112". Lo he buscado en Google y yahoo y solo salen referencias a la noticia del CTRL. O sea que grandes gurus de Internet y la tecnologia no seran si su pàgina no sale listada ni entre las 20 primeras de google al buscarla por su nombre (no me he molestado en seguir mirando).

O sea que la fuente de la noticia es más que dudosa. Y aun asi muchos medios, aparentemente serios, se hancen eco de ella. VERGONZOSO

Y para finalizar hermanos, la gran pregunta:

¿¿PARA QUE SIRVE TANTO INTERNET Y TANTA OSTIA SI NOS CREEMOS LO PRIMERO QUE LEEMOS ¡¡¡EN EL MUNDO!!!??

Contrastemos las informaciones antes de creernoslas y opinar

SI ALGUIEN TIENE LA DIRECCIÓN ORIGINAL POR FAVOR QUE LA PUBLIQUE. Y si hay un ejemplo que demuestre que la tecla CTRL tiene un problema de seguridad me comprometo a imprimir este post i comermelo.

No os calenteis el tarro, os recomiendo q no useis Internet Explorer para nada. Usar Mozilla q es un mounstruo, tiene skins, taps teclas rapidas zoom, gestor de descargas, navega + rapido , es libre q t cagas, q mas quereis. A ver si lo usamos y entre todos hacemos q se cage Microsoft.