• Tweet

Microsoft dijo el viernes pasado que estaba investigando una vieja vulnerabilidad conocida en Internet Explorer (IE) que podría ser usada para acceder a datos de los usuarios y a cuentas basadas en Web.

La falla puede permitir a los hackers secuestrar cuentas de correo electrónico, robar datos y enviar tweets ilícitos, dijo Chris Evans, ingeniero de seguridad de Google en un mensaje publicado en la lista de correo Full Disclosure.

Evans también publicó una demostración que muestra cómo la falla en IE8 se podría usar para manipular una cuenta de usuario de Twitter y enviar tweets no autorizados.

La vulnerabilidad, conocida como falla "CCS cross-origen theft", tiene una larga historia. Investigadores de la Carnegie Mellon University publicaron recientemente un documento sobre el tema, la falla data del 2002. Los investigadores presentarán su trabajo en la Conference on Computer and Communications Security el próximo mes.

Aun así, el defecto había recibido poca atención hasta que Evans comentó sobre él en un blog en diciembre de 2009. Ocho meses antes ya había presentado un informe de error sobre él.

Aunque Microsoft no ha corregido la vulnerabilidad en IE8, otros navegadores, incluyendo Firefox, Chrome, Safari y Opera han arreglado la falla. Google parchó el error de Chrome en enero pasado, mientras que Mozilla hizo lo mismo en julio, con Firefox 3.6.7 y Firefox 3.5.11.

IE9 incluye una solución para la vulnerabilidad. Microsoft planea lanzar una versión beta pública de IE9 el 15 de septiembre.

El viernes Evans explicó el porqué estaba aumentando la presión sobre el parche elaborando una prueba de concepto. "He tenido éxito en persuadir a los proveedores para emitir una solución", dijo al referirse a Microsoft.

Microsoft emitió un comunicado el viernes diciendo que estaba investigando los informes de Evans, pero se negó a responder a las preguntas el lunes, incluyendo si las versiones anteriores de IE fueron vulnerables o por qué no ha abordado aún el error.

"Actualmente no tenemos conocimiento de ningún ataque tratando de utilizar la vulnerabilidad o de que haya impactado a los clientes", dijo Jerry Bryant, un gerente de grupo del Centro de Respuesta de Seguridad de Microsoft, a través de un comunicado por correo electrónico.

Microsoft no debería haberse sorprendido por la revelación de Evans. A principios de agosto, Evans escribió que IE8 fue el más "vulnerable" a la falla. En el blog, Evans agregó que había una prueba de concepto capaz de apropiarse de una cuenta de correo Web. "Es un ataque repugnante", dijo Evans, "alguien envía un enlace por e-mail y si lo siguen, pueden ser robados por una falla de hurto cruzado de CSS del navegador".

Esta no es la primera vez que alguien de Google publica información sobre un error en el software de Microsoft después de afirmar que no le prestaron importancia. A principios de este verano, Tavis Ormandy - un investigador de seguridad de Google al igual que Evans - publicó un defecto de Windows después de decir que Microsoft no se comprometió en tiempo para implementar los parches. Microsoft tiene en disputa la cuenta de Ormandy.

Microsoft finalmente publicó un mes la fecha del parche para la falla de Ormandy.

El viernes, Bryant reiteró la posición de Microsoft en materia de información temprana. "Para minimizar el riesgo para los usuarios informáticos, Microsoft continúa fomentando el descubrimiento coordinado de vulnerabilidades" dijo, refiriéndose a los nuevos términos de su compañía de mantener en secreto información sobre la vulnerabilidad hasta que el parche esté disponible.