Microsoft Windows podría estar revelando información de los usuarios Un fallo en el diseño de Windows puede permitir el acceso a información en forma remota. Una vez más el sistema operativo de Bill Gates... el amigo de los niños (ah, no esos erán sólo Espinete y Michael Jackson... este no tiene amigos...), es noticia por un importante fallo de seguridad, lo cual se une a la polémica presentación de Windows Vista.

Al parecer, Microsoft Windows tiene incorporada una función que permite a las aplicaciones monitorear los cambios realizados en directorios en tiempo real, accesible por otros usuarios. De esta forma, un usuario sin privilegios con acceso a un directorio, puede listar el contenido del mismo y sus subdirectorios, usando la función de "Leer cambios del directorio" (RDCW). El listado que devuelve la misma son archivos que hayan sido accedidos en particiones NTFS, incluso los protegidos. Se muestra nombre, tipo, fecha y hora de modificación o acceso. Como es lógico, esta fuga de información puede ser utilizada para el robo de identidad, usando por ejemplo las cookies, las que se usan para validación en sitios restringidos.

La vulnerabilidad descubierta es que la función RDCW no revisa los permisos del usuario para acceder a los subdirectorios, permitiendo el listado de los mismos. Según informa Enciclopediavirus.com El fallo es explotable desde un ordenador en red local.

Las versiones del sistema Windows afectadas son: 2000, XP, 2003 y Vista. Al parecer, la compañía ha sido avisada en varias ocasiones y reconoce la vulnerabilidad, pero aún no ha publicado una actualización que la resuelva... quizás es que quieran eso como han demostrado con el control sobre el usuario de Windows Vista

Desde SecurityVulns.com Se recomienda evitar la creación de carpetas no seguras o con falta de permisos. Al escribir nombres de archivos, no colocar datos esenciales o confidenciales que puedan ser utilizados por terceras personas con intenciones varias.

Bueno, a mi estas cosas es que me dan caquita. Una multinacional con más dinero que muchos países y hace oídos sordos a una vulnerabilidad que afecta a todos sus usuarios... ¿es para darle un tartazo o no?

Noticia en EnciclopediaVirus.com

Noticia en SecurityVulns.com (inglés)