La nueva brecha de seguridad en Internet Explorer genera confusión

27 Mar 2006 en Seguridad

A partir del pasado jueves en que Microsoft reconoció la existencia de una brecha de seguridad en su Internet Explorer (IE), se corre una carrera entre atacantes y quienes investigan formas de protección.
La mañana del viernes 24, los investigadores detectaron una explotación que burla al arreglo liberado por Microsoft tan sólo un día antes, cuando lanzó un aviso de seguridad sobre la vulnerabilidad “create TextRange” que afecta a usuarios de IE 6 migrando a la versión beta de IE 7 presentada el 20 de marzo.
Scott Carpenter, director de Secure Elements, informó el viernes pasado que la explotación detectada se ha perfeccionado y es capaz de vulnerar hasta a la más reciente versión del browser de Microsoft.
Microsoft aclaró que para que la explotación funcione, el usuario tiene que visitar un determinado sitio Web o hacer click en un link que lo lleva a ese sitio malicioso. La empresa agregó que se han visto ejemplos de pruebas de concepto, pero no ataques concretos hasta ese momento (viernes.)
Hasta que se libere la actualización de seguridad, Microsoft recomienda a los usuarios el update a IE versión 7 beta o desactivar Active Scripting, lo que incluye a controles JavaScript y ActiveX. Microsoft aconsejó a los usuarios de IE 6, a principios de este mes, que desactiven ActiveX.
Carpenter nos dice que la desactivación de Active Scripting altera a muchos sitios en Internet, incluyendo a los de banca online y e-commerce. Secure Elements recomienda pasar a Firefox, Opera u otro browser.
Carpenter aclara que, a medida que hay contenidos de Internet cada vez más ricos, las brechas de seguridad como las de IE también van alcanzando a otros browsers como el propio Firefox y Safari de Apple, por ejemplo.