Los expertos advierten sobre un agujero de día cero en IE6
Varios especialistas en seguridad están advirtiendo a los usuarios sobre un agujero de scripting en Internet Explorer 6 (IE6) que puede ser aprovechado por los hackers para capturar las pulsaciones de los usuarios sobre sus teclados (keystrokes) y otras informaciones.
La vulnerabilidad parece tratarse de una variante de otra expuesta el mes pasado por los expertos Muanuel Caballero y Fukami en la conferencia sobre seguridad BlueHat de Microsoft.
En BlueHat, Caballero, que ha trabajado para Microsoft como tester independiente especializado en penetración, aseguró haber encontrado la forma de capturar cualquier acción del navegador, incluidos los keystrokes utilizados en el tecleo de contraseñas.
Durante una entrevista realizada por Microsoft en su conferencia, Caballero explicó que la combinación de Flash y cualquier navegador –no sólo IE- podía ser hackeada con un script malicioso para dar a los atacantes acceso completo al navegador del usuario.
Los detalles sobre la nueva variante de esta brecha, así como el código de prueba de concepto para su ataque, han sido publicados por un grupo que se hace llamar “Ph4nt0m Security Team”, según una alerta emitida por la firma danesa de seguimiento de vulnerabilidades Secunia.
“La vulnerabilidad puede ser explotada por un website malicioso para abrir un sitio fiable y ejecutar código arbitrario en la sesión de navegador del usuario en el contexto de un entorno legítimo”, ha explicado Secunia.
IE7, la versión más reciente del navegador de Microsoft no es vulnerable a este problema, según Secunia y McAfee. Por eso, estas firmas aconsejan a los usuarios actualizar sus navegadores a IE7 hasta que Microsoft haya desarrollado un parche para la versión más antigua.
Yichong Lin, analista de McAfee, ha asegurado que su empresa ha notificado a Microsoft el problema. Aunque, por el momento, el fabricante de IE no ha confirmado oficialmente su existencia.
