El gobierno de los EE.UU. recomienda no usar Internet Explorer

30 Jun 2004 en Seguridad

El Computer Emergency Readiness Team (US CERT) advierte a los usuarios de browsers que traten de no usar el browser Internet Explorer (IE) de Microsoft.
Tras el sofisticado ataque mediante software malicioso que se produjo la semana pasada mediante el aprovechamiento de una falla no conocida por Microsoft, US-CERT lanzó una advertencia recomendando el uso de browsers alternativos debido a “las importantes vulnerabilidades que presentan las tecnologías embebidas en Internet Explorer.”
“Existen numerosas e importantes vulnerabilidades en las tecnologías relacionadas con el modelo de seguridad de dominio/zona de IE, en el modelo de objeto DHTML, en la determinación del tipo de MIME y en Actives. Es posible reducir la exposición a estas vulnerabilidades sólo usando otro browser Web, especialmente cuando se visitan sitios no confiables,” destaca US-CERT en su nota.
La posición que asume US-CERT llega en un momento crucial para Microsoft, la empresa que ha invertido fuertemente para agregar tecnologías seguras de navegación en el venidero Windows XP Service Pack 2. Microsoft se ha hecho oír durante los últimos meses, hablando de mejoras en la seguridad de IE, pero su prédica no ha sido acompañada por la realidad. Su lenta respuesta en la liberación de arreglos para algunos agujeros críticos para la seguridad de IE, no la deja bien parada ante los expertos en seguridad.
US-CERT es un organismo sin fines de lucro creado por una asociación entre el Departamento de Seguridad Nacional y sectores públicos y privados. Se creó en setiembre de 2003 para mejorar la preparación de la seguridad de la computación ante posibles ataques cibernéticos a los EE.UU.
Pasaron más de dos semanas desde el momento en que Microsoft confirmó la existencia de una falla crítica en IE y ésta facilitó la carga de adware/spyware y código malicioso en las PCs sin intervención de los usuarios. Si bien la compañía indicó que el arreglo estaría en la actualización de seguridad de este mes, la falla permanece sin corregir. IE no valida el contexto de seguridad del frame que ha sido redireccionado por un servidor Web. Abre la puerta a un ataque al ejecutar procedimientos en diferentes dominios de seguridad.
Los usuarios de IE deben desactvar Active scripting y los controles Actives en Zona Internet. Otras maniobras temporarias pueden ser la aplicación de la actualización de e-mail de Outlook; el uso de emails de texto plano y, por supuesto, software antivirus. También hay que cuidarse de no clickear en URLs no solicitadas en un e-mail, mensajes instantáneos, foros Web o sesiones de chat.