• Tweet

Un investigador de seguridad en cómputo y una compañía antivirus están advirtiendo a los clientes de Microsoft Corp. sobre un hueco de seguridad no parchado en el navegador que permite a un intruso evitar advertencias de seguridad y descargar contenido malicioso dentro de sistemas vulnerables.

Las advertencias llegaron después de que el hueco de seguridad fuera identificado en la lista de discusión de seguridad del Internet de Bugtraq por alguien que usaba el nick de "Rafael Ivgi." El hueco de seguridad afecta a Internet Explorer Version 6.0.0, incluyendo la versión publicada con Windows XP Service Pack 2. La vulnerabilidad permite a usuarios maliciosos evitar advertencias designadas a informar a usuarios cuando un archivo se está pasando a sus computadoras usando un documento Web HTML hecho especialmente.

Microsoft reaccionó fuertemente a las advertencias, diciendo que la noticia en Bugtraq probando hizo demandas falsas sobre Internet Explorer en Windows XP SP2, y demandando que la descarga bloquea características en que la versión del browser esta trabajando según lo diseñado.

La compañía de software de seguridad Symantec Corp. publicó una alerta de vulnerabilidad acerca del hueco de seguridad hoy y cito a Ivgi, el cual también proporcionó código probando que el hueco de seguridad existe.

De acuerdo a el mensaje Bugtraq y la alerta Symantec, una característica de Internet Explorer designada a cachar referencias para descargar archivos no detecta un evento particular HTML, conocido como "onclick," cuando este es combinado con la etiqueta Body HTML, la cual es designada a marcar el principio y fin de la parte principal de una página Web.

Usuarios maliciosos del Internet pueden usar el evento onclick en combinación con otra función llamada "createElement" para crear un IFrame, o "inline frame," el cual es un elemento HTML que permite que los objetos externos sean insertados en otro documento HTML. Los atacantes pueden ligar el IFrame a una página web maliciosa que descarga un archivo malicioso para computadora de usuario cuando la página es clickeada, sin la generación de una advertencia en la barra de información, dijo Symantec.

No hay parche disponible del nuevo hueco de seguridad, y no es requerido un código para explotar el hueco de seguridad, dijo Symantec.

De acuerdo a Microsoft, la publicación descrita en la alerta Bugtraq no es un problema de seguridad. En realidad, Internet Explorer para Windows XP SP2 despliega una advertencia de seguridad en el escenario descrito en la alerta: una caja de dialogo en vez de la barra de información.

Usuarios de Internet Explorer están avisados para evitar links proporcionados por recursos desconocidos o inciertos para evitar ser engañado por un sitio Web malicioso. Pueden también configurar el navegador para inhabilitar la ejecución del código script y contenido activo, aunque el hacer esto puede tener efectos nocivos en las funciones Internet Explorer, dijo Symantec.

Las noticias llegan casi tres días después de Microsoft publico varios parches de huecos serios de seguridad de Windows y publico una nueva herramienta que permite a usuarios remover remover software malicioso desde sus PCs, y a al vez de la creciente competencia en el mercado del navegador Web desde el navegador Firefox de Mozilla Foundation.

El martes, la compañía de software publicó boletines de seguridad y parcha dos huecos críticos, uno en el sistema Windows HTML Help y en el otro código Windows que maneja el cursor, cursor animado y formatos de icono.