• Tweet

La defensa cibernetica del gobierno federal advirtio el día de hoy a los usuarios del popular software de contabilidad para pequeñas empresas QuickBooks sobre el riesgo de perdida de informacion y control de sus PCs causado por un intruso.

De acuerdo con dos boletines publicados por el Equipo de Respuesta a Incidentes Informáticos de E.U. (US-CERT), el control ActiveX que habilita la edición online de QuickBooks de la compañía Intuit contiene fallas que los intrusos pueden simplemente explotar al hacer que los usuarios vean un mensaje de correo electrónico en formato HTML o visitando un sitio Web malicioso.

De las dos fallas descubiertas y reportadas por el US-CERT, la investigador Will Dormann, es la mas peligrosa. Los intrusos no solo podrían infectar a una PC Windows con malware, dijo Dormann, ademas "un intruso puede también obtener cualquier archivo de la computadora víctima".

La vulnerabilidad tipo Copenhague fue clasificada por Secunia ApS entre las vulnerabilidades "altamente criticas", es la segunda mas seria clasificación de amenaza.

QuickBooks Online Edición es una versión reducida del tradicional software en disco, y usa un modelo de suscripción por pago que inicia en 19.95 USD al mes. De acuerdo con Dormann, la versión 9, y posiblemente anteriores a esa, contienen la vulnerabilidad en los ActiveX. el US-CERT recomienda que los usuarios actualicen a la versión 10 tan pronto como sea posible o, si no es posible, activar el llamado "kill bit" para deshabilitar el control. Haciendo esto, sin embargo, significa que los usuarios no serán capaces de acceder a QuickBooks Online a través de Internet Explorer de Microsoft Corp., el único navegador soportado por el servicio.

El sitio de soporte no hace mención de las fallas el día de hoy. Irónicamente, uno de los documentos en la base de datos de soporte, titulado "Que es un control ActiveX, ¿es seguro-" que incluye la linea "La respuesta corta es si, nuestros controles son seguros".

Las vulnerabilidades de ActiveX en productos no Microsoft no son nada nuevas, por supuesto. Justo hace un mes, por ejemplo, una falla ActiveX critica estaba afectando los Widgets Yahoo, plataforma de desarrollo que ejecuta pequeñas aplicaciones, basadas en Internet similares a los gadgets en escritorios Windows.