Investigadores en seguridad están advirtiendo a los usuarios sobre una falla de instrucciones no parchada en el Internet Explorer 6 (IE6) que causaría que los hackers capturen teclas rápidas y roben otra información.
La vulnerabilidad parece ser una variación de la primer vulnerabilidad discutida por los investigadores Manuel Caballero y Fukami en la conferencia de seguridad en sitio de Microsoft Corp. BlueHat que tuvo lugar el mes pasado, dijo Yichong Lin, un analista de McAfee Inc. en un mensaje en el blog de la compañía.
En BlueHat, Caballero, quien ha trabajado para Microsoft como un probador independiente de penetración, dijo que ha encontrado una forma de capturar cada acción del navegador, incluyendo las teclas rápidas usadas para escribir claves. En una entrevista grabada en video que Microsoft llevó a cabo durante BlueHat, Caballero dijo que la combinación de Flash y cualquier navegador, no solo IE, podría ser hackeado con una instrucción maliciosa para darle a los atacantes acceso total al navegador.
Detalles de la variante reciente, así como un código del concepto de pruebas, fue colocado en una revista electrónica en chino por un grupo autodenominado "Ph4nt0m Security Team”, de acuerdo con otra alerta colocada por la firma danesa de seguimiento de seguridad Secunia.
Secunia describió la amenaza: “La vulnerabilidad es causada por una entra errónea de validación cuando se maneja la propiedad 'location' o 'location.href' de un objeto en la ventana. Esto puede ser explotado por un sitio Web malicioso para abrir un sitio verdadero y ejecutar instrucciones de código arbitrarias en la sesión del navegador de un usuario en el contexto de un sitio verdadero”.
IE7, la actual versión del navegador de Microsoft, no contiene la vulnerabilidad, dijeron tanto Secunia como McAfee. Hasta que Microsoft genere un parche para el antiguo navegador, los usuarios deberían actualizarse a IE7, agregaron.
Yichong de McAfee dijo que la compañía de seguridad había notificado a Microsoft sobre la vulnerabilidad. Sin embargo, representantes de Microsoft no le dieron respuesta inmediata a una consulta para comentarios adicionales y de confirmación.
-Por Gregg Keizer
Computerworld (US online)
FRAMINGHAM