• Tweet

Este miércoles analistas de seguridad advirtieron a los usuarios acerca de un par de vulnerabilidades que aún no tienen solución en el popular navegador de Microsoft, Internet Explorer, las cuales podrían ser explotadas pronto debido a que una prueba de concepto ha sido publicada para ambas vulnerabilidades.

Las dos vulnerabilidades se han detallado en la lista de correo electrónico Full Diclosure y fueron las principales alertas en el SANS Instutute y de Symantec el miércoles.

Una vulnerabilidad permite al atacante la ejecución de código remoto. Los atacantes pueden engañar a los usuarios para hacer doble clic en un archivo de una pagina Web maliciosa El Internet Storm Center señaló la prueba de concepto requiere la interacción del usuario, aunque continua la preocupación ya que "podemos esperar encontrar el uso creativo de este exploit muy pronto".

”Según el ISC, deshabilitar las capacidades de scripting activas de IE podrían proteger contra el exploit de la vulnerabilidad.

La segunda vulnerabilidad, es debido a una falla en IE que implementa cross-domain, comento Symantec en una advertencia a sus clientes de DeepSight. El IE, ha sido victima de numerosas vulnerabilidades de cross-domain, las cuales puede ser usadas para el secuestro de nombres de usuarios y contraseñas.

Esta vulnerabilidad puede ser utilizada por los atacantes para obtener datos de otros sitios Web en los cuales el usuario inicia sesión (por ejemplo, webmail) y obtener de esta forma las credenciales del usuario,” según la nota del ISC. “Algunos manejadores han pasado un poco más de tiempo validando este aspecto en particular y mientras que este exploit es clasificado como de bajo riesgo, este tema nos ha puesto los cabellos de punta.” Secunia clasificó este par de vulnerabilidades como “menos críticas,” y publicó una prueba para que los usuarios puedan verificar si su navegador es vulnerable a la falla del cross-domain. Según la prueba rápida de Secunia, el IE 7 Beta 2 no es vulnerable a la vulnerabilidad del cross-domain. Esto no es una sorpresa, debido a que en el desarrollo se decidió que el código del navegador fuera reescrito para reducir su perfil de cross-domain scripting.