• Tweet

Algunas pruebas de concepto ya ha sido liberadas para explotar el problema de seguridad encontrado en Internet Explorer por lo que en poco tiempo los ataques a esta vulnerabilidad comenzaran.

Código que toma ventaja de esta vulnerabilidad en Internet Explorer ha sido publicado en el Internet por lo que alguien podría utilizar el código para crear sitios Web maliciosos. La manera de explotarlo sería colocando el exploit en un sitio Web malicioso y enviando correos electrónico con ligas a estos sitios para que los usuarios accedan y comiencen a infectarse.

Una vez que el equipo es infectado el intruso podría tomar el control total del equipo afectado e instalar spyware o software malicioso para obtener datos confidenciales o realizar ataques a otros equipos de cómputo.

Microsoft afirma en un aviso de seguridad publicado el día de ayer que esta conciente de que existen pruebas de concepto pero no se le ha reportado aún que se este explotando esta vulnerabilidad.

El software que esta afectado con tal vulnerabilidad es IE6 y IE5 para Windows 2000 con SP4. En su aviso de seguridad Microsoft afirma que la versión de IE 7 Beta 2 Preview liberada el 20 de marzo no se ve afectada pero no comenta nada acerca de la versión previa liberada de IE7, la cual según Secunia si es vulnerable.

Para corregir el problema Microsoft anuncia que proporcionara una actualización de seguridad en los próximos boletines de seguridad ha liberarse el próximo 11 de Abril.

El Departamento de Seguridad en Cómputo y el UNAM-CERT recomiendan visitar solo sitios Web de confianza y evitar abrir archivos adjuntos de correos electrónicos de personas desconocidas. Además recomienda deshabilitar en la propiedades de Internet Explorer en la configuración de seguridad la opción de Active Scripting. Finalmente se debería tomar en consideración utilizar un navegador alternativo como Firefox, Opera o Netscape.

Debido a la gravedad del problema y a que ya existen pruebas de concepto el problema se considera altamente crítico. Se espera que en los próximos días se empiece a explotar la vulnerabilidad con la creación de sitios Web maliciosos y el envió masivo de correos electrónicos no deseados a miles de usuarios tratando de infectar la mayor cantidad de equipos posibles.

Esta es la tercera falla de seguridad en Internet Explorer en una semana de las cuales se ha dado seguimiento en las lista de correo del Departamento de Seguridad en Cómputo.

Reportes recientes recibidos por el Internet Storm Center mencionan que se ha detectado un Sitio Web malicioso explotando esta vulnerabilidad. Pero de acuerdo a estadísticas de Netcraft este sitio es poco visitado. Como se había mencionado solo era cuestión de tiempo para que empezaran a explotar la vulnerabilidad y muy probablemente aparezcan más sitios web maliciosos en los siguientes días. Finalmente no se descarta que Microsoft adelante la liberación de un actualización de seguridad para antes del 11 de Abril.