|
Comparte este artículo
Twitter
Digg
Del.icio.us
Slashdot
Furl
Yahoo
Technorati
Googlize this
Blinklist
Facebook
Wikio
Meneame
Exportar a PDF
Imprimir
E-mail
Este mes de Febrero será difícil de olvidar para Microsoft. A las vulnerabilidades ya conocidas de Internet Explorer y los sistemas Windows, se une ahora otra vulnerabilidad de Internet Explorer que hace posible que un atacante obtenga acceso completo al disco duro local, incluyendo archivos, cookies de autenticación y HTTP y datos de sesión, según Jorge Luis Alvarez Medina, un consultor de seguridad que trabaja para Core Security.
La explotación de la vulnerabilidad se basa únicamente en la habilidad de un posible atacante para crear código HTML malicioso en un sitio web y predecir la ruta completa del archivo que será usado en la caché local de la víctima, afirma la advertencia publicada por Core Security. “Si se puede predecir la ruta completa, un atacante podría provocar una redirección al archivo local usando una URI especificada en formato UNC y forzar al contenido local a mostrarse como un documento HTML, lo que permitiría ejecutar comandos de scripting e instanciar ciertos controles 
ActiveX”.
Medina afirma que es la segunda ocasión que notifican vulnerabilidades a Microsoft que no son debidas a fallos sino a las características del propio software. Eliminar estas características no es posible si se quiere que el programa siga trabajando de forma transparente. Estas debilidades tienen que ser corregidas mediante cambios en la tecnología.
Según algunas publicaciones, Microsoft está investigando el asunto y afirma que, hasta ahora, la vulnerabilidad no está siendo explotada. La única combinación de navegador y Sistema Operativo que no es vulnerable al ataque es IE8 bajo Windows 2000/2003/XP/Vista.
