Seguridade

Identificada una técnica para aprovechar un fallo conocido de IE

67

Una empresa de seguridad ha identificado un exploit para aprovecharse de un agujero conocido de Internet Explorer que supone un importante riesgo, incluso bajo Windows XP SP2.


Investigadores de seguridad advierten que la técnica, que se aprovecha de agujeros conocidos de SP2, podría permitir a un atacante ejecutar código de script en el sistema de otro usuario a través de una página web diseñada para ello.
Los agujeros de seguridad implicados son bien conocidos desde hace más de dos meses, pero las técnicas necesarias para aprovecharse de ellos (exploits) requerían que el usuario realizase acciones como arrastrar una imagen de una parte de una página web a otra. La nueva técnica –de la cual ha publicado una demostración la firma danesa de seguridad Secunia- es totalmente automática, con el único requisito de que la víctima visite una página web con Explorer. No hay otros navegadores ni sistemas operativos afectados.
El grupo de seguridad Greyhats ya advirtió a finales de diciembre de la existencia de un nuevo tipo de exploit. Entonces Secunia actualizó su advertencia al nivel de “extremadamente crítica” y publicó una demostración. También la organización de alerta de seguridad informática US-CERT, de Estados Unidos, ha emitido una alerta sobre el asunto.
Microsoft ha advertido a los usuarios que desactiven la opción “Arrastrar y soltar o copiar y pegar archivos” de IE como solución temporal. El peligro también se puede minimizar estableciendo al máximo los niveles de seguridad para la zona Internet, o –como han recomendado varias empresas de seguridad- utilizando otro navegador.
Este fallo es el mayor de SP2 que ha surgido hasta la fecha. Microsoft está promocionando el Service Pack 2, lanzado el pasado verano, como solución a muchos de los peores problemas de seguridad de Windows. Los investigadores han identificado tres problemas diferentes pero relacionados entre sí dentro de IE: un bug en la validación de ciertos eventos de arrastrar y soltar, y errores de restricción de zonas con controles ActiveX de ayuda HTML embebidos. El primero se puede evitar desactivando la opción de arrastrar y soltar o copiar y pegar archivos, pero el nuevo exploit no tiene que ver con este fallo en particular.

También podría gustarte
Conexións

Apple y Google suspenden las escuchas de sus asistentes virtuales, por el momento

Phone / Tablet

Google confirma que algunos dispositivos Android incluían una avanzada puerta trasera de serie

Seguridade

Detectada una nueva vulnerabilidad grave que afecta a casi todos los chips de Intel desde 2011

Na Web

Protección de Datos limita el acceso de los partidos a información personal

Comentarios