Llegamos a ustedes gracias a:



Alertas de Seguridad

Un investigador revela más problemas en Internet Explorer

La explotación de cuatro o cinco funciones de IE podría poner en peligro algunos archivos

[25/01/2010] Internet Explorer de Microsoft podría permitir inadvertidamente que un hacker lea los archivos en la computadora de una persona, Se trata de un problema más para la compañía, pocos días después de que una grave vulnerabilidad recibiera un parche de emergencia.

El problema fue descubierto hace dos años, pero ha persistido a pesar de dos intentos de solucionarlo por parte de Microsoft, informó Jorge Luis Álvarez Medina, consultor de seguridad de Core Security Technologies. Álvarez tiene programada una presentación en la conferencia Black Hat en Washington DC, el 3 de febrero.
El problema podría permitir que un hacker pueda leer los archivos en la computadora de una persona, aunque no podría instalar otro código. Sin embargo, se trata de un grave problema de seguridad, aseguró Álvarez Medina. Afecta a todos los sistemas operativos de Microsoft desde Windows NT hasta Windows 7, y a cada versión de IE incluyendo el más reciente IE8.
El truco funciona cuando un atacante atrae a la víctima para que haga clic en un URL (Uniform Resource Locator) malicioso. Luego, mediante la manipulación de cuatro o cinco funciones en Internet Explorer, el hacker fuerza al navegador a procesar archivos que no son de HTML puro en la PC, indicó Álvarez Medina.
Core notificó del ataque a Microsoft en el 2008, y la compañía introdujo dos cambios diferentes al navegador. Core describe la reparación del 2009 en su sitio web, junto con la reparación del 2008.
A pesar de las reparaciones, Medina encontró la forma de lograr el mismo ataque. Dado que el problema involucra funciones y no vulnerabilidades, es más difícil para Microsoft solucionar el problema de manera permanente, indicó Medina. Algunas de estas funciones son imposibles de arreglar, señaló.
Core ha estado trabajando estrechamente con Microsoft en el tema. Microsoft lanzará el 9 de febrero los siguientes parches, pero aún no queda claro si la compañía planea solucionar el problema para ese entonces.
La empresa anunció el lunes que está investigando. Actualmente no tenemos conocimiento de ningún atacante que esté intentando utilizar la vulnerabilidad, ni de algún tipo de impacto en los clientes; y creemos que el riesgo de los clientes es reducido debido a la responsable divulgación que se ha hecho del tema, según un comunicado.
El problema representa más aflicciones para IE. Microsoft lanzó un parche de emergencia el jueves para reparar una vulnerabilidad de día cero que ocasionó que Google y más de 30 compañías fueran hackeadas en los llamados ataques Aurora.
Jeremy Kirk, IDG News Service