Implicaciones de seguridad de la personalización
En este tema se describe una posible vulnerabilidad de seguridad en MFC.
Posible vulnerabilidad de seguridad
MFC permite al usuario personalizar el aspecto de una interfaz de usuario de la aplicación, por ejemplo, la apariencia de botones e iconos. MFC también admite herramientas definidas por el usuario, que permiten al usuario ejecutar comandos de shell. Se produce una vulnerabilidad de seguridad porque la configuración personalizada de la aplicación se guarda en el perfil de usuario del registro. Cualquier persona que pueda acceder al registro puede editar esa configuración y cambiar la apariencia o el comportamiento de la aplicación. Por ejemplo, un administrador del equipo podría suplantar a un usuario haciendo que la aplicación de este usuario ejecute programas arbitrarios (incluso desde un recurso compartido de red).
Soluciones alternativas
Se recomienda cualquiera de estas tres maneras de cerrar las vulnerabilidades en el registro:
Cifrado de los datos almacenados allí
Almacene los datos en un archivo seguro en lugar de en el registro.
Para lograr cualquiera de estas dos primeras maneras, derive una clase de CSettingsStore Class e invalide sus métodos para implementar el cifrado o el almacenamiento fuera del registro.
También puede deshabilitar las personalizaciones en la aplicación.
Consulte también
Comentarios
Proximamente: Ao longo de 2024, retiraremos gradualmente GitHub Issues como mecanismo de comentarios sobre o contido e substituirémolo por un novo sistema de comentarios. Para obter máis información, consulte: https://aka.ms/ContentUserFeedback.
Enviar e ver os comentarios