Un exploit (programa o método concreto que saca provecho de
una falla o agujero de seguridad de una aplicación o sistema,
generalmente para un uso malicioso), ha sido hecho público en
las últimas horas en Internet.

El mismo afecta a los usuarios del Internet Explorer de
Microsoft, y puede permitir que cualquier sitio acceda al
contenido del portapapeles de Windows, sin que el usuario
tenga alguna señal de que ello está ocurriendo.

Esto pone en riesgo la seguridad de todos aquellos que
acostumbran usar el “cortar y pegar” para reiterar
contraseñas, números de tarjetas de crédito, o cualquier otra
información privada que pueda ser de carácter sensible o
comprometedor.

Según estadísticas recientes, el 49% de los usuarios de
Internet, guardan sus contraseñas en documentos y utilizan la
técnica de “cortar y pegar” para ingresar las mismas en las
opciones correspondientes.

Una simple página HTML en un sitio Web, puede llegar a
contener cierto código que permita explotar esta falla del
Internet Explorer, para monitorear el portapapeles, y
procesar a través de un script su contenido, apoderándose de
él. Este script podría también ingresar esta información a
una base de datos o enviarlo a través del correo electrónico
a alguien para su provecho personal.

Para los expertos, la mayor preocupación se plantea ante la
costumbre de cortar y pegar trozos de textos, que bien
podrían ser los códigos de seguridad de una cuenta bancaria o
de una tarjeta de crédito, por ejemplo.

No existe aún respuesta oficial de Microsoft al respecto.

Para evitar este tipo de acción, se puede deshabilitar la
opción “Permitir operaciones de pegado por medio de una
secuencia de comandos” como se explica a continuación:

1. Vaya a Herramientas, Opciones de Internet

2. Seleccione la lengüeta “Seguridad”

3. Pinche en el icono de la Zona denominada “Internet”

4. Pinche en “Personalizar nivel”

5. Luego, busque la rama “Automatización”, y marque la
casilla “Desactivar” en la opción: “Permitir operaciones de
pegado por medio de una secuencia de comandos”

Para comprobar si es vulnerable, puede utilizar el siguiente
enlace:

http://www.ntfs.org/tmp/clip.html

Si lo es, basta copiar algo al portapapeles, para que a los
pocos segundos ello aparezca en una ventana en dicha página.
Por supuesto, en este ejemplo, el resultado es solo visual.
Pero una manipulación del código podría servir para capturar
el contenido del portapapeles, y que este fuera enviado a
alguien, en alguna parte de Internet, para quién sería muy
redituable la información así robada.

(c) Video Soft – http://www.videosoft.net.uy
(c) VSAntivirus – http://www.vsantivirus.com