Primer agujero de seguridad de Internet Explorer 7

Menos de 24 horas después de su lanzamiento, expertos de seguridad encontraban agujeros en el nuevo navegador de Microsoft. Poco después Microsoft alertaba de que no se trataba de un bug del navegador.

La compañía danesa Secunia informaba el martes que IE7 tiene una vulnerabilidad que ya tenía IE6 el pasado mes de abril. Se trata de un fallo que desvela infomración confidencial y afecta a la versión final de IE7 cuando se ejecuta sobre Windows XP con Service Pack 2.

Si un usuario usa IE7 para visitar un sitio web malicioso preparado expresamente para aprovechar este agujero y al mismo tiempo está visitando otro sitio seguro en el que hay información confidencial, el primer sitio podría “leer” esta información. Esto permitiría al atacante leer la información bancaria o el correo electrónico que el usuario tiene abierta en otra ventana o pestaña del navegador. Curiosamente, una de las características de seguridad que incluye el nuevo navegador de Microsoft es la función anti-phishing, que con esta brecha de seguridad quedaría invalidada.

Secunia, que ha calificado este fallo como “menos crítico”, sugiere desactivar el soporte de controles activos para proteger el ordenador. De todos modos, admite que el fallo es difícil de aprovechar, porque requiere que el atacante engañe al usuario para que abra un sitio malicioso al tiempo que visita otras páginas seguras de forma simultánea, a su vez conocidas por el atacante.

No obstante, Microsoft ha descartado que se trate de un bug del navegador y afirma que el problema reside en un componente del cliente de correo electrónico Outlook Express que puede ser activado por el navegador. En cualquier caso, la compañía se lamenta de que se haya dado tanta publicidad a este problema, algo por otra parte comprensible dado el escaso tiempo transcurrido entre el lanzamiento del navegador y el anuncio del fallo por parte de Secunia.
Whitepaper emc-cio-it-as-a-service-wp Whitepapers