Archive for noviembre 21st, 2002

Microsoft dice: No confien en microsoft!

jueves, noviembre 21st, 2002 699 lecturas

Un nuevo agujero de seguridad en Internet Explorer e IIS (todavia no puedo entender porque un browser y un server de http comparten codigo). El agujero es un buffer overrun en un control ActiveX. Nada nuevo, la solucion: cuando pasan estas cosas, microsoft lanza un control nuevo y le pone un Kill Bit al anterior, para que no sea usable. El tema es que poniendole un kill bit a este otro, volveria a cientos de miles de sitios inusables

Nuevo problema: como los controles de ActiveX estan firmados criptograficamente por microsoft y la mayoria de los IEs estan configurados para confiar en contenido de microsoft. Entonces, cualquier persona puede armar una pagina que reintroduzca el control ActiveX vulnerable y despues, ejecutar codigo
Solucion: Microsoft le pide a sus usuarios, que no confien en contenido de Microsoft.
Patetico :)

Buscar: