Banda Ancha EU

Información independiente
sobre fibra, móvil y ADSL

hosting en interdominios

Cerrado

La tecla CTRL nuestra peor enemiga, fallo en IE

Pues hoy como de costumbre estaba leyendo las news del navegante sección de tecnología del diario el mundo, bueno pues me e quedado un poco parado al leer el siguiente titular "La tecla CTRL: agujero de seguridad en el Explorer", asta que extremos hemos llegado?, bueno sigo, pues se ve que una empresa "Euro Trust 112" a alertado de la posibilidad de programar un script para que envíe ficheros locales al servidor cuando pulsemos la tecla CTRL ya que al pulsar este tecla el script será ejecutado con menos restricciones de lo habitual.

Yo no se que sentido de la seguridad tiene Microsoft, pero encuentro este fallo, bug o como le queráis llamar un tanto ridículo, la empresa en cuestión dice que ya alertado a Microsoft de esto pero dicen que no es de su competencia y que no trabajara para programar un parche que arregle este fallo, y yo me pregunto si no es competencia de ellos de quien es entonces?, cada día me sorprendo mas con esta compañía, yo de vosotros mandaría a freír espárragos al IE y usar Mozilla que no le tiene nada que envidiar.

Noticia original: www.elmundo.es/navegante/2002/08/02/segu … 8279276.html

Los comentarios más recientes se muestran primero. Haz click sobre un comentario para desplegar/plegar.
  • Cerrado

    Os animo a que useis Mozilla

    No os calenteis el tarro, os recomiendo q no useis Internet Explorer para nada. Usar Mozilla q es un mounstruo, tiene skins, taps teclas rapidas zoom, gestor de descargas, navega + rapido , es libre q t cagas, q mas quereis. A ver si lo usamos y entre todos hacemos q se cage Microsoft.

  • Cerrado

    BocaDePez BocaDePez
    0

    NO ME LO CREO

    Vaya por delante que no me considero un usuario sino un sufridor de los productos Microsoft. Pero esto huele a bulo.

    Vamos por partes, segun lo poco que he podido leer (porque no hay más):

    1- La Técnica:
    Para mandar datos a un servidor desde el navegador (sea el que sea) la única forma es a través de un formulario. Supongamos que alguien con malas intenciones logre con un formulario oculto recoger datos de nuestro PC (esta es la parte más compleja del asunto).

    Para mandar estos datos está el evento Submit, que lo normal es que se active con un botón, pero que puede usar cantidad de eventos proporcionados por Javascript para redirigir al envio de datos. Entre ellos: OnBlur (cambio de campo de formulario) , cualquier clic o rollover en un link o imagen de la página, OnUnload (al salir de la página),... (y como 20 más)

    La pulsación de teclas en Javascript depende de los eventos Keypress i Keydown que no estan más relacionados con el evento Submit que cualquier otro de los mencionados. El uso de CTRL es una anécdota, como puede ser el uso de A, Z o la tecla que a uno le salga de los webos.

    Si consideramos que el uso de CTRL para hacer un Submit es un bug, tambien debemos considerar bugs TODOS los eventos de JavaScript, con todos se puede hacer submit. I A LA HOGERA CON EL.

    2- La notícia
    Que conyo es "Euro Trust 112". Lo he buscado en Google y yahoo y solo salen referencias a la noticia del CTRL. O sea que grandes gurus de Internet y la tecnologia no seran si su pàgina no sale listada ni entre las 20 primeras de google al buscarla por su nombre (no me he molestado en seguir mirando).

    O sea que la fuente de la noticia es más que dudosa. Y aun asi muchos medios, aparentemente serios, se hancen eco de ella. VERGONZOSO

    Y para finalizar hermanos, la gran pregunta:

    ¿¿PARA QUE SIRVE TANTO INTERNET Y TANTA OSTIA SI NOS CREEMOS LO PRIMERO QUE LEEMOS ¡¡¡EN EL MUNDO!!!??

    Contrastemos las informaciones antes de creernoslas y opinar

    SI ALGUIEN TIENE LA DIRECCIÓN ORIGINAL POR FAVOR QUE LA PUBLIQUE. Y si hay un ejemplo que demuestre que la tecla CTRL tiene un problema de seguridad me comprometo a imprimir este post i comermelo.

    • Cerrado

      Sí señor. estoy de acuerdo contigo en TODO lo dicho. Y…

      Sí señor.
      estoy de acuerdo contigo en TODO lo dicho.

      Y añadiría que un script malicioso también se puede ejecutar al pinchar sobre un enlace, hacer rollover sobre una imagen o texto, abrir una ventana, cerrarla... por lo que CUALQUIER navegador que use javascript está lleno de bugs y de agujeros de seguridad.

      Señor, señor...

  • Cerrado

    BocaDePez BocaDePez
    0

    El verbo "Haber" se escribe con "H"

    E decido, muy a mi pesar, que abía que llamar vuesta atención sobre este extemo, porque algunos todavía no an aprendido a escribir.

    Ay que joderse...

  • Cerrado

    BocaDePez BocaDePez
    0

    En todos los navegadores puede ocurrir

    Solo basta que se esté visualizando una página Web maliciosamente modificada para que esta acción permita mediante un código en JavaScript descargar en el pc de la víctima un archivo.

    OJO: EN CUALQUIER TIPO DE NAVEGADOR (NO SOLO EN IE)
    La secuencia de acontecimientos es la siguiente:
    1. Cuando la víctima pulsa la tecla CTRL, se dispara por defecto un evento llamado OnKeydown, que cambia la tecla pulsada por el código correspondiente a la tecla 'V', dando como resultado una operación de 'pegado' con menos restricciones (cut and past, copiar y pegar).
    2. El contenido del portapapeles es alterado para asumir el nombre de un archivo, y el foco es cambiado a un formulario oculto en la página que permite la descarga de estos. Luego, una operación de pegado se lleva a cabo en el formulario llenando un campo con el nombre del archivo a descargar, acción normalmente bloqueada por las restricciones de seguridad.
    3. El formulario de descarga es enviado automáticamente (es una operación completamente legal del JavaScript), sin advertencia alguna.
    Es importante tener en cuenta que no es necesario conocer la ubicación exacta del archivo local ya que es posible referirse a cualquier archivo en la forma "..\nombre_de_archivo".
    Además de todo esto, si el archivo local "..\LOCALS~1\TEMPOR~1\CONTENT.IE5\index.dat" es enviado, se puede obtener el camino exacto a los archivos temporales de Internet.
    Con esta información, un archivo en formato de ayuda compilada (.CHM), puede ser descargado y ejecutado por medio de la función showHelp() haciendo uso de una antigua vulnerabilidad. El archivo .CHM puede contener instrucciones para ejecutar cualquier programa.
    Microsoft ha sido avisado del problema, pero no hay parche disponible ni aparentemente lo habrá porque no lo considera un riesgo para la seguridad, a pesar de la opinión de quienes han experimentado con un 'exploit' disponible en Internet, demostrando su factibilidad.
    Los expertos sugieren como precaución deshabilitar en Herramientas, Opciones de Internet, Seguridad, Internet, Personalizar nivel, la opción 'Automatización', 'Permitir operaciones de pegado por medio de una secuencia de comandos'.
    repito: este fallo puede ocurrir también en cualquier navegador que soporte JavaScript (prácticamente todos).

  • Cerrado

    BocaDePez BocaDePez
    0

    ui-ui-ui!!

    sencillo hacer un script que active lo que te de la gana al pulsar "any key", pero muy tonto al que le funcionase ya que con unos minimos de configuración queda resuelto el problema, osea: si dejas todo "abierto" en el IE aceptando todo lo que te venga, obviamente este y otros scripts malignos te harían virguerias en el PC, al igual que en Linux o Mac o lo que sea, se trata del juego del gato y el ratón.

    Osea que la base de la noticia es cierta, pero no es que se trate de un Bug del IE, es sencillamente una idiotez más de quién la haya propagado, elemental que Microsoft los haya mandado al peo.

  • Cerrado

    BocaDePez BocaDePez
    0

    mozilla, netscape explorer?mmmsiiii siiiii siiiii.Viva la pepa!

    A ver, segun he leido en alertaantivirus.es, uno de los reportajes que ponen(que es una redireccion a otra pagina), indica un fallo de seguridad grave en mozilla y en netscape. Ademas, no hay programa que se libre de ello. Fijate en los antivirus por ejemplo. Algunos virus se cepillan el panda y el mcaffey. Tambien algunos se cepillan el firewall. Y la mayoria tiene bugs(segun lo que he leido), asi que no digamos que se pongan uno u otro.

    Estamos predestinados al fallo general del sistema.jejeje.

    Lo unico que me parece curioso es que hayan tardado tanto en descubrir un fallo asi. Coño, solo es pulsar una tecla, y un script ya trabaja en su tema.

    No se, pero esta visto que hagan lo que hagan, siempre habra alguien que se cepillara la "supuesta" seguridad.

    Yo por lo pronto seguire usando explorer, porque para mi, hasta ahora, me parece mas rapido y una interfaz mas comoda. Pero eso es cosa mia.

    Es solo una humilde opinion.

    Bye-.Jhonny

      • Cerrado

        BocaDePez BocaDePez
        0

        Alguna pagina se pone cabezona, pero el mata-popup que lleva…

        Alguna pagina se pone cabezona, pero el mata-popup que lleva y lo tremendamente ligero que es merecen la pena.

      • Cerrado

        6

        IE sigue siendo el navegador más avanzado, pero Mozilla 1.0…

        IE sigue siendo el navegador más avanzado, pero Mozilla 1.0 con su soporte de CSS2 y DOM2, se combierte en la mejor opción multiplataforma, cosa que el IE no es.

        Ni Opera, ni NS. Mozilla es compatibilidad al 100%

        Yo navego con IE pero desarrollo webs con Mozilla, con la garantia de que funcionará en todos los navegadores decentes.

        • Cerrado

          Un ole! para Josh, menos mal que aun queda gente como tu por…

          Un ole! para Josh, menos mal que aun queda gente como tu por este universo con unos buenos principios, estoy deacuerdo contigo 100%, Microsoft lo unico que hace es cargarse estandares y patentarlos y si le seguimos la rueda esto NUNCA terminara, y con mozilla se pueden hacer perfectamente paginas bonitas con chorraditas, para eso esta el javascript, ale ahi queda.

          • Cerrado

            BocaDePez BocaDePez
            0
            Efectiviwonder, Mozilla es la caña. aunke adolece de…

            Efectiviwonder, Mozilla es la caña. aunke adolece de enfermedad "flashera".

            El plugin de Macromedia para Netscape, Opera, K-meleon y Mozilla no rula lo bien ke debiera. ... no admite fondo transparente. buaaaaa.

            !Macromediaaaa, ke lo usamos mucha genteeeeeee!!! :)

  • Cerrado

    Netscape & Mozilla r0x!

    yo siempre he usado desde mis principios de usar Internet, desde mi añorado 14.400 Netscape utilizando lo menos posible Explorer no sé porque nunca me acabó de gustar, asi que ya veis. Pa que luego digan...

    http://www.mozilla.org :D

  • Cerrado

    a ve a ve a ve que me entere xD...

    ...que van 3 páginas con ésta en la que veo la noticia y creo que es aquí donde alguien me lo puede aclarar ;)

    Esto no es como un script anti click derecho?

    Es decir, que se activa ante un evento, solo que en lugar de en un click derecho, es al pulsar ctrl...como si le quieren poner la tecla "A" ?

    Total, que no existe problema para TODAS y cada una de las páginas que veamos? solo para las que incluyan ese script pillín?

    Osea, que solo habría peligro en páginas...de "dudosa fiabilidad", o en servidores infectados por un hipotético virus que incluyera el script en todas las páginas que hospedase?

    La duda me roe y me corroe...xD

    Saludos :)

    • Cerrado

      El próximo que le de a responder a este post se le va a…

      El próximo que le de a responder a este post se le va a activar un virus que la va a flipar... xD

  • Cerrado

    Pashame la ferramienta... que tengo que reprogramar.

    A ver... Mpfs!!! insh!! arf! arf! arf!

    clonk clonk clonk!!! sreek sreek sreek!!!

    giiiiiiiii....... uf!!! iiiiiiiih..... arf!!!

    CRACK!!!!

    Por fin!!!! arf!!! lo que me costo!!! pero ahora con ayuda del kit de herramientas de encofrador que acompañan al Windows2003StrarTrek Edition, he conseguido arrancar las teclas de control. Total... como prometen que nunca se va a colgar... no tendré que usar CTRL + DEL + SUP!!! que guay, que desparrame.

  • Cerrado

    ctrl

    ¬¬ esta es una de esas noticias que SI, que te dejan de una forma bestial... joder pulasr control... no, si dentro de poco nos diran que apretando cualquier tecla vamos a ejecutar un virus modernisimo, que nos va a formatear el disco duro, cremar todos los pci i la placa, reventarte el procesador i cortarte la polla... entonces quine coño va a teclear lo que quiere buscar en google??

  • Cerrado

    Uhh!! enviar ficheros al servidor habra q tener cuidado con EL

    Vaya kk de bug, no mextraña q microsoft pase de arreglarlo, si solo es eso pues diria yo q el servidor es subnormal si acepta cierto tipo de ficheros (virus, troyanos etc).

    PD: vease q dice "posibilidad" (alguien lo ha probado y/o visto?). Ah y viva la publicidad entre lineas!! (no podeis ser mas objetivos?)

    • Cerrado

      A ver si leemos mejor, dice que si pulsas CTRL un script se…

      A ver si leemos mejor, dice que si pulsas CTRL un script se puede ejecutar y mandarle al server el fichero que EL quiera, por ejemplo todo el fichero del registro donde va toda la configuración de tu maquina y las claves para vete tu a saber que programas tienes instalados.

  • Cerrado

    Heeeeemmm....

    Alguien puede decirme un link a alguna pagina tecnica en donde hablen de este supuesto bug. Es que me parece muy raro el bug en cuestion y no confio de la validez de la informacion cuando hablan de informatica en ciertos medios....

  • Cerrado

    cómo? qué?

    Ein? Pulsar CTRL reduce mi nivel de seguridad? y MAYS no? mande? aunque tenga mi exploter con todos los parches puestos???

    A mi me parece raro... posi... el script de marras sólo podrá aprovecharse de explorers indefensos, digo yo.

  • Cerrado

    .

    Pedazo de bug..

    En cuanto a lo de hacer el parche, generalmente los que descubren el bug les pasan la info a M$ con la esperanza que lo arreglen, pero M$ pasa bastante del tema y al final el que descubre el bug pasadas unas semanas lo hace público para forzar a M$ a que tape el agujero.

    El que descubre el bug no tiene porque hacer el parche en el mundo Windows, más que nada porque no tiene los fuentes del mismo. En el mundo del software libre es diferente ya que si el que lo descubre no pone la solución otro que si que sepa la pondrá al poco tiempo.

1