Agujeros de seguridad
 |
|
 | Microsoft descubre nuevas vulnerabilidades “críticas” en el Internet Explorer y Outlook Express |
|
|
| |
Microsoft.com
Microsoft ha publicado dos revisiones de seguridad para solventar varias vulnerabilidades de carácter “crítico” descubiertas en las versiones 5.01, 5.5 y 6.0 de su navegador Internet Explorer y las dos últimas de gestor de correo electrónico Outlook Express, la 5.5 y la 6.0.
Los servicios de soporte técnico del fabricante, los programas y sistemas operativos presentes en nueve de cada diez equipos informáticos señalaron que el principal fallo consiste en un problema de seguridad de la máquina virtual Java, el módulo que permite a los programas escritos en este lenguaje ejecutarse sobre Windows.
La vulnerabilidad reside en el controlador de direcciones URL del estándar de Internet MHTML —encapsulación de extensiones multiuso de correo por Internet de HTML acumulado—, utilizado por Outlook Express para enviar contenidos con formato web (HTML) en el cuerpo de los mensajes de correo electrónico.
Un atacante podría aprovechar el problema para crear una dirección URL y ponerla en un web o enviarla por e-mail, con lo que si el usuario pinchara el enlace o abriera el archivo recibido por correo electrónico habilitaría al “hacker” para leer o ejecutar archivos existentes en el PC atacante.
MENOS RESTRICCIONES
Al permitir el controlador de direcciones que cualquier archivo que pueda procesarse como texto se pueda abrir como parte de una página en Internet Explorer, la vulnerabilidad permitiría crear una dirección web referida a un archivo de texto guardado en el PC del usuario, y procesarlo como código HTML en la zona de seguridad del equipo local, que cuenta con menores restricciones que otras zonas.
Incluso, si el usuario no tuviera la configuración por defecto de Outlook Express 6.0 o Outlook 2002, el “hacker” podría activar el ataque por sí mismo, sin necesidad de que el internauta pinchara el enlace o abriera el archivo.
No obstante, Microsoft precisó que, en un ataque a través de un sitio web, el autor tendría que atraer al usuario a visitar el sitio web en el que aloja la página diseñada para aprovechar este fallo, sin poder —lógicamente— obligarle a hacerlo.
Junto a ésta, el gigante de Redmond también hizo públicas otras tres vulnerabilidades de carácter “crítico” que afectan a su navegador web, otra que permite transferir a Internet Explorer datos de una secuencia de comandos, con lo que podría cargar automáticamente un archivo en un servidor web; y una tercera que habilita a un hacker a acceder a archivos guardados en el ordenador atacado.
CAMBIO DE DATOS
Según el boletín de seguridad publicado por la propia compañía, esto puede llegar a permitir a un atacante ejecutar desde un sitio web cualquier código, de forma que podría cambiar datos, cargar y ejecutar programas, o volver a formatear el disco duro del ordenador atacado. 
|
