| Noticias | 10 ENE 2005

Identificada una técnica para aprovechar un fallo conocido de IE

Tags: Histórico
Una empresa de seguridad ha identificado un exploit para aprovecharse de un agujero conocido de Internet Explorer que supone un importante riesgo, incluso bajo Windows XP SP2.
Arantxa G. Aguilera
Investigadores de seguridad advierten que la técnica, que se aprovecha de agujeros conocidos de SP2, podría permitir a un atacante ejecutar código de script en el sistema de otro usuario a través de una página web diseñada para ello.

Los agujeros de seguridad implicados son bien conocidos desde hace más de dos meses, pero las técnicas necesarias para aprovecharse de ellos (exploits) requerían que el usuario realizase acciones como arrastrar una imagen de una parte de una página web a otra. La nueva técnica –de la cual ha publicado una demostración la firma danesa de seguridad Secunia- es totalmente automática, con el único requisito de que la víctima visite una página web con Explorer. No hay otros navegadores ni sistemas operativos afectados.

El grupo de seguridad Greyhats ya advirtió a finales de diciembre de la existencia de un nuevo tipo de exploit. Entonces Secunia actualizó su advertencia al nivel de “extremadamente crítica” y publicó una demostración. También la organización de alerta de seguridad informática US-CERT, de Estados Unidos, ha emitido una alerta sobre el asunto.

Microsoft ha advertido a los usuarios que desactiven la opción “Arrastrar y soltar o copiar y pegar archivos” de IE como solución temporal. El peligro también se puede minimizar estableciendo al máximo los niveles de seguridad para la zona Internet, o –como han recomendado varias empresas de seguridad- utilizando otro navegador.

Este fallo es el mayor de SP2 que ha surgido hasta la fecha. Microsoft está promocionando el Service Pack 2, lanzado el pasado verano, como solución a muchos de los peores problemas de seguridad de Windows. Los investigadores han identificado tres problemas diferentes pero relacionados entre sí dentro de IE: un bug en la validación de ciertos eventos de arrastrar y soltar, y errores de restricción de zonas con controles ActiveX de ayuda HTML embebidos. El primero se puede evitar desactivando la opción de arrastrar y soltar o copiar y pegar archivos, pero el nuevo exploit no tiene que ver con este fallo en particular.

Contenidos recomendados...

Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios
X

Uso de cookies

Esta web utiliza cookies técnicas, de personalización y análisis, propias y de terceros, para facilitarle la navegación de forma anónima y analizar estadísticas del uso de la web. Consideramos que si continúa navegando, acepta su uso. Obtener más información