Compartir a través de


Implicaciones de seguridad de la personalización

En este tema se describe una posible vulnerabilidad de seguridad en MFC.

Posible vulnerabilidad de seguridad

MFC permite al usuario personalizar el aspecto de una interfaz de usuario de la aplicación, por ejemplo, la apariencia de botones e iconos. MFC también admite herramientas definidas por el usuario, que permiten al usuario ejecutar comandos de shell. Se produce una vulnerabilidad de seguridad porque la configuración personalizada de la aplicación se guarda en el perfil de usuario del registro. Cualquier persona que pueda acceder al registro puede editar esa configuración y cambiar la apariencia o el comportamiento de la aplicación. Por ejemplo, un administrador del equipo podría suplantar a un usuario haciendo que la aplicación de este usuario ejecute programas arbitrarios (incluso desde un recurso compartido de red).

Soluciones alternativas

Se recomienda cualquiera de estas tres maneras de cerrar las vulnerabilidades en el registro:

  • Cifrado de los datos almacenados allí

  • Almacene los datos en un archivo seguro en lugar de en el registro.

    Para lograr cualquiera de estas dos primeras maneras, derive una clase de CSettingsStore Class e invalide sus métodos para implementar el cifrado o el almacenamiento fuera del registro.

  • También puede deshabilitar las personalizaciones en la aplicación.

Consulte también

Personalización de MFC