Fabricantes de seguridad han alertado ante un fallo que afecta a Internet Explorer, Firefox y Mozilla, tanto en los sistemas operativos Windows, Linux y Mac. El fallo podría ser usado para recoger ficheros de los sistemas que presenten vulnerabilidades.

El problema radica en la forma que los navegadores han implementado el código de escritura JavaScript en Firefox y Active Scripting en Internet Explorer. Ambos navegadores tienen un error de diseño en el que una escritura puede cancelar determinados eventos cuando los usuarios entran en el texto.

El agujero podría ser explotado y engañar a usuarios en la entrada de texto en un campo que, a priori, parece ser seguro. Sin embargo, el texto es accesible a un atacante.

“Tanto en Explorer como Firefox se pueden filtrar las entradas de una manera y saltar hacia la entrada de texto anterior, haciendo como si nada hubiera ocurrido”, ha señalado Charles McAuley, que fue quien alertó de este fallo.

Utilizando esta técnica, los atacantes podrían llegar a obtener el directorio de archivos “sensibles”, los cuales podrían ser descargados por un usuario.

La vulnerabilidad puede ser explotada por un atacante remoto para engañar a los usuarios y que se descarguen archivos desde un sistema vulnerable a un destino malicioso. Sin embargo, y a pesar que McAuley demostró públicamente que el agujero era real, éste ha dicho que “Microsoft no mostró especial interés en poner un parche al problema, así como Firefox, que continuó sin parches”. Además, Firefox ya tuvo un agujero de seguridad similar en el año 2000, según ha explicado McAuley.