• Tweet

Una vulnerabilidad en el navegador Internet Explorer de Microsoft puede ayudar a los defraudadores para hacer que los sitios Web de phishing puedan parecer legítimos, reportó este miércoles un investigador en materia de seguridad.

El error recae en la forma que Internet Explorer 7 procesa una página HTML localmente almacenada que contiene mensajes de error en HTML, esta página es la que comúnmente vemos al cancelar la recarga un sitio Web, dijo Aviv Raff, investigador en seguridad.

El mensaje de error le dice al usuario que la “navegación de la página Web fue cancelada” y ofrece al usuario la oportunidad de “refrescar la página”. Si se refresca la página mediante el link, Internet Explorer puede ser engañado para que despliegue una dirección Web incorrecta de una página. Raff publicó una prueba del código que demuestra el modo en que Internet Explorer puede estar hecho para desplegar una página Web en su sitio Web como si éste fuera del dominio de cnn.com

Este defecto puede ser explotado por los phishers quienes desean que sus sitios Web engañosos aparezcan como legítimos, dijo Raff.

“Puedo inyectar un script, el cual desplegará cualquier cosa que yo quiera en la página cuando los usuarios le den click en el link de ‘refrescar’”. “Combinando esto con el defecto de diseño, un atacante puede poner en el navegador lo que quiera, con cualquier URL que desee en la barra de dirección”.

Este tipo de bug se le conoce como vulnerabilidad “cross-site scripting”. Afecta a IE 7 en Vista y Windows XP, agregó Raff.

Microsoft no puede confirmar inmediatamente los resultados de Raff, pero la compañía publicó una declaración diciendo que está investigando la publicación y que no está enterado de un ataque en la forma como lo señana Raff.