Con la ayuda de IBM, Microsoft ha corregido una vulnerabilidad crítica en Windows que pasó desapercibida por casi dos décadas.

La falla ha existido en toda versión de Windows desde Windows 95, permitiría a un atacante ejecutar código de manera remota cuando el usuario visita un sitio web malicioso. Robert Freeman, investigador de IBM, comentó que la vulnerabilidad se localiza en código del que depende Internet Explorer (IE), pero que no necesariamente es de IE.

De acuerdo con Freeman, la falla es causada por una vulnerabilidad en VBScript, el cual fue introducido desde Internet Explorer 3.0. Actualmente, la falla no es detectada por las herramientas anti intrusiones de Microsoft, mejor conocidas como Kit de herramientas de experiencia de mitigación mejorada, ni por las características de sandboxing en Internet Explorer 11.

La buena noticia es que no hay evidencia de que se esté explotando esta vulnerabilidad actualmente. IBM reportó el problema en mayo y lo está haciendo público ahora que hay un parche disponible, el cuál, por supuesto, sólo aplica a Windows Vista y versiones posteriores, debido a que el soporte para Windows XP terminó en abril.

IBM indicó que este descubrimiento muestra cómo algunas vulnerabilidades significativas pueden evadir la detección por muchos años y a su vez, resalta un tipo de vulnerabilidad poco común: una que involucra manipulación arbitraria de datos. Asimismo, IBM advierte que podría haber otras fallas similares que aún no han sido descubiertas, que posibilitan a los atacantes instalar keyloggers, screen grabers y herramientas de acceso remoto (RAT).