Una de las razones por las que Microsoft dejó de agregar huevos de Pascua a los productos es que potencialmente podrían tener fallas de seguridad. ¿Se conocen gusanos, explotaciones, etc. que aprovechan un huevo de Pascua en algún producto?
Una de las razones por las que Microsoft dejó de agregar huevos de Pascua a los productos es que potencialmente podrían tener fallas de seguridad. ¿Se conocen gusanos, explotaciones, etc. que aprovechan un huevo de Pascua en algún producto?
Sí, los huevos de Pascua han causado problemas de seguridad en el pasado.
Aquí hay tres ejemplos, por severidad descendente:
Un huevo de Pascua en la Xbox que muestra créditos de desarrollador ocultos se usó en un exploit para ejecutar ejecutables personalizados sin firma (que Microsoft originalmente había proibitado). Este es el huevo de Pascua:
La Xbox contenía créditos de desarrollador en el panel de control. Insertando un CD de audio y al copiarlo con el nombre "
<<Eggsßox>>
" se activaría it.
El exploit en sí está documentado aquí .
Este PHP Easter egg es probablemente uno de los más conocidos huevos de Pascua relevantes para la seguridad, aunque es "solo" un problema de divulgación de información. Esencialmente, al agregar una cadena en particular a la URL en cualquier sitio de PHP que tenga configurada la opción expose_php
, puede revelar una imagen oculta en lugar de la página original. Como estas imágenes varían entre las versiones de PHP, esa característica se convirtió en una forma popular de ayudar a un atacante a tomar la huella digital de la versión de PHP de un servidor de destino. Puede encontrar un informe sobre ese problema aquí .
El información falsa sobre el virus jdbgmgr.exe no es una vulnerabilidad real, pero también se basó en un huevo de Pascua. Es un engaño de correo electrónico que les dice a los usuarios de Windows que eliminen un archivo en particular. Ese archivo tenía, a modo de broma, un ícono de oso de peluche que lo hacía parecer inusual en un directorio de sistema de Windows. Este icono facilitó a los mensajes falsos convencer a los usuarios de que el archivo era en realidad un "virus peligroso".