El investigador Aviv Raff ha descubierto un nuevo agujero de seguridad en Internet Explorer que permitiría a un atacante ejecutar programas arbitrarios, aunque la intervención del usuario es necesaria.
La vulnerabilidad es del tipo cross-zone scripting y afecta a la opción ''Imprimir tabla de vínculos'', una característica del navegador que añade en una impresión de página un apéndice con una tabla que contiene todos los enlaces publicados. La función por defecto está desactivada y se encuentra en la pestaña ''Opciones'' de la ventana de diálogo ''Imprimir''. Cuando imprimimos una página el navegador utiliza un recurso local que genera nuevo archivo HTML a imprimir, este se ejecuta desde la zona local dejando una puerta abierta para los atacantes. Debido a que los enlaces del nuevo archivo se incluyen sin ningún tipo de filtrado, se podría crear un enlace con un script malicioso y publicarlo en cualquier sitio web (blog, red social, foro, etc), cada vez que un usuario imprima la página con la función tabla de vínculos habilitada, el atacante será capaz de ejecutar códigos arbitrarios en su equipo, es decir tomar el control del sistema.
Según Raff el problema afecta a Internet Explorer 7 y 8 beta en Windows XP totalmente actualizado, Windows Vista con UAC habilitado se ve parcialmente afectado permitiendo a los atacantes espiar el equipo de la víctima, además las versiones anteriores del navegador también podrían verse afectadas.
Microsoft ya está al tanto de la situación y buscando una solución, mientras tanto se recomienda evitar utilizar la característica ''Imprimir tabla de vínculos'' cuando se imprima una página web con Internet Explorer.
Fuente : Rompecadenas
No hay comentarios:
Publicar un comentario