Llegamos a ustedes gracias a:



Alertas de Seguridad

Un investigador revela cómo una falla de Internet Explorer

Puede convertir una PC en un servidor de archivos públicos

[04/02/2010] El miércoles, en una demostración en vivo durante la conferencia Black Hat DC, un consultor de seguridad mostró cómo es posible aprovechar una falla en el navegador de Microsoft Internet Explorer, para leer documentos de manera remota de la unidad local de una víctima, provocando un aviso de seguridad de Microsoft.

Asegura que la falla se extiende por todas las versiones de Internet Explorer, no está sujeto a una revisión de parches, según Jorge Luis Álvarez Medina, el consultor de seguridad con base en Argentina, de Core Security Technologies, quien explicó sobre la técnica de ataque durante su demostración. De hecho, Microsoft recomendó a cualquier persona preocupada por la posibilidad de que este tipo de ataque funcione en IE en modo protegido, una solución que también fue aconsejada por Medina.
Otras soluciones en el IE, según Medina, incluirían la instalación del IE Network Protocol Lockdown, ajustando el nivel de configuración de seguridad para Internet e Intranet Zones a high, y deshabilitando el Active Scripting para Internet e Intranet Zones con una configuración personalizada.
Pero también señaló que, como el ataque solo parece funcionar contra el IE, los usuarios podrían considerar la utilización de un navegador diferente para navegar por sitios web no confiables. Medina explicó que no parece que la falla de IE esté sujeta a parches porque abarca elementos de diseño relacionados con la forma en que IE y el Explorador de Windows manejan la elevación de zona, el código HTML y los tipos MIME.
Hay varias formas de instigar el ataque, lo cual es algo complejo porque hay que encadenar todas estas características en conjunto para construir una herramienta de ataque, sostuvo Medina. Un método consiste en atraer a la víctima para hacer clic en un vínculo a un sitio web malintencionado.
Una debilidad del IE es que su comportamiento no es estable...cuando accede a los mismos recursos, señaló. El exploit demostrado por Medina básicamente consiste en encadenar exploits de una serie de características débiles. Señaló que hasta la fecha el diálogo con el equipo de seguridad de Microsoft acerca de los exploits ha indicado que Microsoft cree que se trata de algo que no se puede arreglar, porque la falla se encuentra muy aparte del diseño fundamental del navegador.
Ellen Messmer, Network World (US)