Siguen apareciendo vulnerabilidades en Internet Explorer

18 Nov 2004 en Seguridad

El anuncio de la firma especializada en seguridad Secunia advierte a los usuarios sobre dos vulnerabilidades detectadas en una versión de Windows XP completamente actualizada con el patch Service Pack 2 (SP2).
Las vulnerabilidades detectadas por Secunia pueden llevar al engaño de usuarios para que descarguen  un archivo malicioso que se presenta como un documento HTML común.
La primer vulnerabilidad se produce cuando un usuario que corre con SP2 trata de descargar ciertos tipos de archivos y son notificados de potenciales riesgos de seguridad. La vulnerabilidad detectada por Secunia rebasa el aviso de seguridad con un header http que altera el “Contain Location” del archivo que se intenta descargar y así evita que se active el alerta de seguridad.
La segunda vulnerabilidad saca provecho de una configuración por defecto en SP2. La misma permite que código malicioso cambie la extensión de un archivo para que el usuario crea que se trata de otra clase de archivo. Por defecto, Internet Explorer tiene una opción “Hide Extensión for Known File Types,” que puede se explotada maliciosamente mediantela función “execCommand()” de Javascript.
La gente de Microsoft consideró que la divulgación de estas vulnerabilidades, de las que no consta que se hayan producido ataques a usuarios, ha sido realizada en forma irresponsable por parte de la empresa Secunia. Dar a conocer una vulnerabilidad antes de que sea manejada por Microsoft Security Response Center, órgano creado para la investigación, arreglo y aprendizaje de vulnerabilidades a la seguridad. Cuando una vulnerabilidad se hace pública antes de ser procesada por Microsoft, se aumenta la chance de que la comunidad de hackers realice ataques antes de que se solucione el problema.