Money es el programa de contabilidad y gestión de cuentas bancarias, gastos, etc de Microsoft. Este programa protege el acceso a los datos mediante el uso de una contraseña, si bien en determinadas condiciones esta protección puede resultar insuficiente para un atacante curioso.
Microsoft acaba de publicar un parche para solucionar una vulnerabilidad en las versiones de Money 2000 y 2001, por la cual un usuario malicioso puede llegar a conseguir la password que protege los archivos de datos. Según informa Microsoft, el problema reside en que bajo determinadas circunstancias el programa puede almacenar la contraseña en texto plano.
Según aclara Microsoft en su boletín de seguridad, la vulnerabilidad sólo afecta a los datos almacenados en el archivo, en el ordenador local, de ninguna forma influye sobre los servicios online a los que Money permite acceder. Además el atacante debe tener acceso físico al archivo de datos, en ningún caso puede explotarse la vulnerabilidad de forma remota.
Microsoft advierte que la protecci¢n por password de este archivo no debe entenderse como un sustituto de la protecci¢n de acceso a nivel archivo. La compa_¡a alega que incluso en ausencia de esta vulnerabilidad los usuarios deben proteger estos archivos mediante otros medios.
La actualizaci¢n se puede conseguir de forma autom tica a trav’s de la actualizaci¢n on-line del propio programa, en el meno Herramientas la opci¢n Actualizar por Internet.
Opina sobre esta noticia:
http://www.hispasec.com/unaaldiacom.asp?id=672
M s informaci¢n:
Bolet¡n de Microsoft
http://www.microsoft.com/technet/security/bulletin/ms00-061.asp
Preguntas y Respuestas sobre la vulnerabilidad
http://www.microsoft.com/technet/security/bulletin/fq00-061.asp
Antonio Ropero
antonior@hispasec.com
http://www.hispasec.com
