Si eres nuevo en este sitio, puedes suscribirte a Tecnoseguridad via RSS o recibir la noticias via email. Gracias por tu visita !
El investigador Aviv Raff ha descubierto un nuevo agujero de seguridad en Internet Explorer que permitirÃa a un atacante ejecutar programas arbitrarios, aunque la intervención del usuario es necesaria.
La vulnerabilidad es del tipo cross-zone scripting y afecta a la opción ”Imprimir tabla de vÃnculos”, una caracterÃstica del navegador que añade en una impresión de página un apéndice con una tabla que contiene todos los enlaces publicados. La función por defecto está desactivada y se encuentra en la pestaña ”Opciones” de la ventana de diálogo ”Imprimir”. Cuando imprimimos una página el navegador utiliza un recurso local que genera nuevo archivo HTML a imprimir, este se ejecuta desde la zona local dejando una puerta abierta para los atacantes. Debido a que los enlaces del nuevo archivo se incluyen sin ningún tipo de filtrado, se podrÃa crear un enlace con un script malicioso y publicarlo en cualquier sitio web (blog, red social, foro, etc), cada vez que un usuario imprima la página con la función tabla de vÃnculos habilitada, el atacante será capaz de ejecutar códigos arbitrarios en su equipo, es decir tomar el control del sistema.
Según Raff el problema afecta a Internet Explorer 7 y 8 beta en Windows XP totalmente actualizado, Windows Vista con UAC habilitado se ve parcialmente afectado permitiendo a los atacantes espiar el equipo de la vÃctima, además las versiones anteriores del navegador también podrÃan verse afectadas.
Microsoft ya está al tanto de la situación y buscando una solución, mientras tanto se recomienda evitar utilizar la caracterÃstica ”Imprimir tabla de vÃnculos” cuando se imprima una página web con Internet Explorer.
