Microsoft señala que el fallo de seguridad descubierto reside en Windows, no en Inter
-
Microsoft señala que el fallo de seguridad descubierto reside en Windows, no en Internet Explorer
A pesar de que investigadores independientes manifestasen que el navegador de la compañía, Internet Explorer era inseguro, ahora el gigante del software dice que es el sistema operativo el que necesita ser parcheado.
Microsoft ha dicho que el reciente fallo de Secure Socket Layer (SSL, el estándar para las transacciones online y comercio electrónico seguros) descubierto por un investigador independiente se encuentra en múltiples versiones de su sistema operativo y no en su navegador web Internet Explorer. Los empleados de la compañía han añadido además que el defecto no reside en el CryptoAPI de Microsoft, lo que podría dejar un número de aplicaciones y servicios de Windows vulnerables, no sólo de Internet Explorer. Microsoft ha señalado que está trabajando ya en conseguir parches para Windows 98, ME, NT4, 2000 y XP, pero no ha confirmado cuando estarán disponibles.
Según Scott Culp, máximo responsable del Microsoft Security Response Center, el problema tiene que ver con el código que efectúa la validación de las cadenas de certificado SSL, en referencia a la jerarquía de responsabilidad que desciende desde las autoridades de certificación como VeriSign. El sistema operativo debe ser parcheado porque IE no tiene su propio código criptográfico y depende del sistema operativo para este servicio. Los empleados de Microsoft afirman que no es descabellado que el sistema operativo suministre servicios criptográficos a cualquier aplicación que lo necesite en lugar de que éstas dispongan de su propia tecnología criptográfica. Según el investigador que notificó el fallo en primer lugar, Mike Benham, el fallo de seguridad permite que se pueda secuestrar una sesión de SSL y descifrar mensajes que contengan los números de las tarjetas de crédito o de la Seguridad Social.