Hace pocos días se ha publicado un nuevo fallo de seguridad en Internet Explorer que podría permitir al visitar una página web ejecutar cualquier programa en la máquina del visitante. Microsoft ha lanzado una actualización que corrige el error.
El pasado día 20 de agosto, el grupo de seguridad eEye
Digital Security hizo
público un
fallo de seguridad que afecta a todas las versiones de Microsoft
Internet Explorer, según el cual, sería posible insertar en
una página web, correo electrónico
o documento HTML en general código que sería ejecutado por
la máquina
que abriera dicho documento. Este fallo fue descubierto por eEye
el 15 de Mayo de este año y notificado a la compañía de Redmond.
El fallo
de seguridad, publicado en los boletines de seguridad de
Microsoft
MS03-32 y MS03-20,
se basa en aprovechar que Internet Explorer, al mostrar una etiqueta
HTML de tipo
y en el recurso “remote.php”, incluir un script que
se ejecutaría en la máquina del usuario, permitiendo abrir
una puerta trasera, ejectuar un troyano o cualquier otro tipo
de virus, dejando el ordenador a merced del atacante. Así, si
el objeto ActiveX que se carga tiene un identificador de clase
“válida”, Internet Explorer no se asegurará de que no contenga
código que por razones de seguridad no se pueda ejecutar.
Un ejemplo
de este fallo de seguridad para Internet Explorer
se puede encontrar en esta página.
Este test abrirá una ventana de notepad con el archivo de configuración
win.ini, una de comando y ejecutará un listado de directorio y otra
con un mensaje de texto.
Microsoft ha catalogado como crítico este fallo, y ha
publicado un parche acumulativo
que, además de subsanar este error, corrige
otros fallos de seguridad detectados en Internet Explorer en
estos últimos meses, y que es más que recomendable instalar lo antes
posible en los sistemas afectados.
Otros navegadores no basados en el motor de Internet Explorer,
como bien puedan ser ya difunto Netscape o su sucesor Mozilla,
no son afectados por este fallo de seguridad.
Para más información:
- Boletín de seguridad de Microsoft MS03-32.
- Parche para
Internet Explorer. - Aviso de eEye
Digital Security
Escribe tu comentario