Money es el programa de contabilidad y gestión de cuentas bancarias,
gastos, etc de Microsoft. Este programa protege el acceso a los datos
mediante el uso de una contraseña, si bien en determinadas condiciones
esta protección puede resultar insuficiente para un atacante curioso.
Microsoft acaba de publicar un parche para solucionar una
vulnerabilidad en las versiones de Money 2000 y 2001, por la cual un
usuario malicioso puede llegar a conseguir la password que protege los
archivos de datos. Según informa Microsoft, el problema reside en que
bajo determinadas circunstancias el programa puede almacenar la
contraseña en texto plano.
Según aclara Microsoft en su boletín de seguridad, la vulnerabilidad
sólo afecta a los datos almacenados en el archivo, en el ordenador
local, de ninguna forma influye sobre los servicios online a los que
Money permite acceder. Además el atacante debe tener acceso físico al
archivo de datos, en ningún caso puede explotarse la vulnerabilidad de
forma remota.
Microsoft advierte que la protección por password de este archivo no
debe entenderse como un sustituto de la protección de acceso a nivel
archivo. La compañía alega que incluso en ausencia de esta
vulnerabilidad los usuarios deben proteger estos archivos mediante
otros medios.
La actualización se puede conseguir de forma automática a través de la
actualización on-line del propio programa, en el menú Herramientas la
opción Actualizar por Internet.
antonior@hispasec.com
Más información:
Boletín de Microsoft
http://www.microsoft.com/technet/security/bulletin/ms00-061.asp
Preguntas y Respuestas sobre la vulnerabilidad
http://www.microsoft.com/technet/security/bulletin/fq00-061.asp
Deja una respuesta