• Tweet

Expertos en seguridad han advertido de na nueva falla en Internet Explorer que podría explotarse para lanzar ataques basados en la usurpación de identidad (spoof), o acceder y cambiar datos en PCs vulnerables.

El problema radica en la forma en que Microsoft ha implementado un componente de JavaScript en su navegador Web, según escribió el investigador de seguridad Amit Klein en un artículo. Internet Explorer no valida algunos campos de datos proporcionados por la PC cuando se usa el componente, llamado XmlHttpRequest.

La vulnerabilidad podría explotarse con un código diseñado especialmente. Un intruso podría hacerse pasar por un sitio Web legítimo, acceder datos desde la caché del navegador Web o realizar un ataque de hombre en el medio, que se interpone en el tráfico entre un usuario y otro sitio Web, de acuerdo a lo que escribió Klein

Las computadoras con todos los parches que estén ejecutando Windows XP con Service Pack 2 e Internet Explorer 6.0 son vulnerables a esta falla, según dijo en un boletín la compañía de monitoreo de seguridad Secunia. Secunia clasifica el problema como "moderadamente crítico" pero dice que las personas pueden evitar el riesgo configurando el nivel de seguridad "alto" en IE.

Microsoft está investifando el reporte de vulnerabilidad, dijo en un comunicado un representante de la compañía. El fabricante de software no sabe de algún ataque que esté aprovechando la falla, dijo el representante. Hasta que se termine la investigación Microsoft podría proporcionar una actualización de seguridad o un arreglo de emergencia.

Microsoft no está muy contento por la forma en que se ha dado a conocer el problema. La compañía solicita a los investigadores de seguridad que reporten problemas en sus productos de forma privada, de tal forma que puedan proporcionar una solución. El representante de Microsoft dijo "Este tratamiento público pone potencialmente en riesgo a los usuarios de computadoras".

En las últimas semanas, varios investigadores de seguridad han descubierto fallas en Internet Explorer, que es parte de Windows. Algunas de estas vulnerabilidades podrían permitir a un intruso obtener control de la PC de un usuario. Microsoft inicialmente planeó liberar al menos un parche para Windows a principios de este mes pero no lo hizo debido a motivos de calidad.

Secunia ha publicado 86 boletines de sguridad sobre IE, de los cuales 20 están actualmente marcados como "no arreglados" en la base de datos de Secunia.

Fuente: zdnet  RAQ/RAQ