Microsoft investiga una supuesta vulnerabilidad XSS (Cross Site Scripting) en su navegador Internet Explorer. De acuerdo a reportes confirmados, el hacker David Leo divulgó la vulnerabilidad el sábado pasado junto con código funcional de una prueba de concepto.

Aunque se sabe que Microsoft trabaja en un parche para la vulnerabilidad, no se ha dado una fecha para la publicación de la corrección. Según se informó, la falla se presenta en versiones actualizadas del explorador en sistemas Windows 7.

Joey Fowler, del equipo de seguridad de Tumblr, escribió en la lista de correo Full Disclosure que la vulnerabiliad era una amenaza creíble y peligrosa. "Mientras las páginas que se carguen en los frames no contengan encabezados 'X-Frame-Options' (con valores deny o same-origin), se ejecutará [la prueba de concepto] exitosamente", dijo Fowler. "Al mismo tiempo que se inyecta el código malicioso, muchas de las Políticas de Seguridad de Contenido se evitan (mediante la inyección de código HTML en lugar de JavaScript)".

Fowler dijo que la vulnerabiliad hace viables todos los vectores XSS para los atacantes. Leo utilizó el sitio The Daily Mail para demostrar el ataque. Los usuarios de Internet Explorer serán redirigidos a la página de correo en la que el contenido de una página externa se carga y en el que se puede leer "hacked by Deusen".

La barra de direcciones del navegador se mantendrá sin cambios durante el ataque, haciendo que éste sea atractivo para sitios phishing.