Microsoft corrige el agujero que permite falsificar el URL en Internet Explorer

Microsoft ha publicado una actualización acumulativa para Internet Explorer en sus versiones 5.01, 5.5 y 6.0. y elimina tres nuevas vulnerabilidades, entre las que se incluyen la ya famosa de falsificación de URL.

Tal y como informa Hispasec, el primero de los problemas corregidos es una conocida vulnerabilidad de ocultación y falsificación de URLs, utilizada en los últimos tiempos en varias estafas de banca ‘on line’, como el caso del Banco Popular, BBVA o Banesto.
La vulnerabilidad estaba relacionada con el tratamiento incorrecto de URLs que contienen caracteres especiales. Cuando se combinaba con una forma de autenticación básica de la forma “usuario:contraseña@” al comienzo de la URL, un atacante podía lograr construir un enlace de forma que al seleccionarlo el usuario visualizara una URL concreta en la barra de direcciones de Internet Explorer, cuando en realidad se visitaba un sitio ‘web’ diferente.
La segunda vulnerabilidad está relacionada con el modelo de seguridad de dominios cruzados de Internet Explorer que evita que ventanas de diferentes dominios intercambien información. Esta vulnerabilidad podía llegar a permitir la ejecución de ‘scripts’ en la zona de seguridad local.
La última de las vulnerabilidades corregidas hace relación a la operación de arrastrar y soltar durante eventos de dynamic HTML (DHTML) en Internet Explorer. Esta vulnerabilidad puede permitir que se grabe un archivo en el sistema del usuario si este llega a pulsar en un enlace. Al usuario no se le presentará ningún cuadro de dialogo para aprobar la descarga.
Con este parche múltiple, Microsoft rompe su norma de publicar las actualizaciones el segundo martes de cada mes, lo cual indica la gravedad que los problemas corregidos suponen para la propia empresa.
Fuente: hispasec