El problema afecta sobre todo a los usuarios que disponen de sitios web y acceden a ellos para modificar algún documento utilizando Explorer como cliente de FTP.
Sorprendentemente, tras editar un fichero HTML y guardarlo de nuevo, Explorer incluye, como comentario en el código fuente de la página, el nombre de usuario y contraseña de acceso al servidor FTP. En resumen: cualquiera que se descargue esa página en lo sucesivo dispone de las credenciales necesarias para modificar el sitio web o hacerlo desaparecer…
¿Conoce Microsoft la existencia del problema? Sí, y al menos desde 2004. Para Microsoft, la capacidad de cliente ftp se incluye en Explorer sólo “por comodidad”, pero no se trata de un auténtico cliente de ftp. Por otro lado modificar este comportamiento requeriría -decía Microsoft en 2004- una “rearquitectura” de la característica.
Ante estas declaraciones, cualquiera podría pensar que Explorer 7 hubiera podido ser la ocasión más indicada para reparar el bug. Pues no: Explorer 7 se comporta exactamente igual.
Por tanto los webmasters que utilicen Explorer para manejar sus páginas web son los principales afectados. En caso de duda, sería recomendable que realizaran una búsqueda en el código fuente de sus páginas de expresiones del tipo de la siguiente:
<!-- saved from url=(0042)ftp://name:password@xxx/xxx.html -->
Se trata de la línea de comentario añadida por Explorer que puede resultar nefasta para la seguridad del sitio, puesto que incluye la contraseña y nombre del usuario que accede al sitio por ftp. Un cambio inmediato de esos datos de acceso también podría estar indicado, antes de que una búsqueda en Google proporcione a un eventual atacante la llave de su sitio.
Fuente: http://www.kriptopolis.org/
