• Tweet

Falla de Cross-site scripting derivada de una falla reportada a Microsoft en Mayo.

Investigadores de seguridad están advirtiendo a los usuarios acerca de una falla no corregida de cross-site scripting en Internet Explorer 6 (IE6) que podría er usada por los hackers para capturar las teclas presionadas y robar otra información.

La vulnerabilidad al parecer es una variante de la vulnerabilidad discutida por primera vez por los investigadores Manuel Cabellero y Fukami en el sitio de Microsoft Corp. de la conferencia de seguridad BlueHat a principios de mes, Yichong Lin, analista de McAfee Inc., dijo en una entrada del blog de la compañía.

En BlueHat, Caballero, quien ha trabajando para Microsoft como experto en pruebas de penetración independiente, dijo que ha encontrado una manera de capturar cada acción del navegador, incluyendo las teclas presionadas usadas para escribir las contraseñas. En una entrevista en video que Microsoft condujo durante BlueHat, Caballero dijo que la combinación de Flash y cualquier navegador, no solo IE, podría ser hackeado con un script malicioso que da a los atacantes acceso completo al navegador.

Detalles de la reciente variante, también como código de prueba de concepto, fueron publicados en una revista digital China por un grupo que se hace llamar "Ph4nt0m Security Team", de acuerdo a otra alerta atendida por la firma de monitoreo de vulnerabilidades Danesa Secunia.

Secunia mostró la amenaza: "La vulnerabilidad es causada debido a un error de validación de entrada cuando esta manejando las propiedades 'location' o 'location.href' de un objeto window. Esto puede ser explotado por un sitio Web malicioso que abre un sitio confiable y ejecuta un script arbitrario en la sesión de navegador del usuario en el contexto del sitio confiable".

IE7 , la versión actual del navegador de Microsoft no contiene la vunerabilidad, dijieron ambos Secunia y McAfee. Hasta que Microsoft produzca un parche para las versiones anteriores del navegador, los usuarios deben actualizarse a IE7, agregaron.

Yichong de McAfee dijo que la compañía de seguridad había notificado a Microsoft sobre la vulnabilidad. Los representantes de Microsoft, sin embargo, no contestaron inmediatamente a la solicitud para solicitar la confirmación y comentarios adicionales