Una empresa de seguridad ha identificado un exploit para aprovecharse de un agujero conocido de Internet Explorer que supone un importante riesgo, incluso bajo Windows XP SP2.

Investigadores de seguridad advierten que la técnica, que se aprovecha de agujeros conocidos de SP2, podría permitir a un atacante ejecutar código de script en el sistema de otro usuario a través de una página web diseñada para ello.

Los agujeros de seguridad implicados son bien conocidos desde hace más de dos meses, pero las técnicas necesarias para aprovecharse de ellos (exploits) requerían que el usuario realizase acciones como arrastrar una imagen de una parte de una página web a otra. La nueva técnica –de la cual ha publicado una demostración la firma danesa de seguridad Secunia- es totalmente automática, con el único requisito de que la víctima visite una página web con Explorer. No hay otros navegadores ni sistemas operativos afectados.

El grupo de seguridad Greyhats ya advirtió a finales de diciembre de la existencia de un nuevo tipo de exploit. Entonces Secunia actualizó su advertencia al nivel de “extremadamente crítica” y publicó una demostración. También la organización de alerta de seguridad informática US-CERT, de Estados Unidos, ha emitido una alerta sobre el asunto.

Microsoft ha advertido a los usuarios que desactiven la opción “Arrastrar y soltar o copiar y pegar archivos” de IE como solución temporal. El peligro también se puede minimizar estableciendo al máximo los niveles de seguridad para la zona Internet, o –como han recomendado varias empresas de seguridad- utilizando otro navegador.

Este fallo es el mayor de SP2 que ha surgido hasta la fecha. Microsoft está promocionando el Service Pack 2, lanzado el pasado verano, como solución a muchos de los peores problemas de seguridad de Windows. Los investigadores han identificado tres problemas diferentes pero relacionados entre sí dentro de IE: un bug en la validación de ciertos eventos de arrastrar y soltar, y errores de restricción de zonas con controles ActiveX de ayuda HTML embebidos. El primero se puede evitar desactivando la opción de arrastrar y soltar o copiar y pegar archivos, pero el nuevo exploit no tiene que ver con este fallo en particular.

Dios mio...

__________________
"Aquel que es cruel con los animales se vuelve tosco en su trato con los hombres. Se puede juzgar el corazón de un hombre por su trato a los animales."
(Inmanuel Kant)

Pues a usar el Mozilla, y se acabaron los problemas.

Saludos desde el sur

Efebo

__________________

SI SECRETUM TIBI SIT,
TEGE ILLUD, VEL REVELA.