Descubren una vulnerabilidad XSS en Internet Explorer 11
Microsoft ya estaría trabajando en un parche para corregir una vulnerabilidad en su último navegador, Internet Explorer 11, un fallo de cross-site scripting (XSS) que podría ser explotado por ataques de phishing para robar información o inyectar código malicioso.
- Las vulnerabilidades de día cero ponen en grave riesgo a las empresas
- Internet Explorer, Java y Flash son los objetivos más atacados por malware
- Microsoft estaría considerando implementar Public Key Pinning en Internet Explorer
- Microsoft alerta de un fallo de seguridad que afecta a todas las versiones de Explorer
- Caen un 70% las vulnerabilidades explotadas en productos de Microsoft
Deusen, una firma británica de consultoría de seguridad, está detrás del descubrimiento de una nueva vulnerabilidad XSS en Internet Explorer 11, que podría ser utilizada para robar información o inyectar código en dominios en el navegador, y en Windows 7 y 8.1. Microsoft ya sería consciente del fallo y estaría desarrollando un parche para resolver el problema lo antes posible.
Según una información publicada en Threatpost.com, David Leo, un investigador de Deusen, informó de la vulnerabilidad de Internet Explorer 11 en Full Disclosure y publicó una demostración de cómo se puede utilizar para hackear el contenido de un sitio, externamente. Concretamente, la página hackeada fue el sitio web de noticias dailymail.co.uk, pero, si en lugar de una web de noticias se viera comprometida una web de banca, el usuario podría ser fácilmente víctima del phishing en caso de que introdujera sus credenciales en un formulario habilitado en dicha página.
Microsoft afirma no tener conocimiento de este error haya sido explotado, pero aconseja a los usuarios actuar con cautela a la hora de abrir enlaces, especialmente los procedentes de fuentes y sitios sospechosos. "Para explotarlo, el atacante primero tendría que atraer al usuario a un sitio web malicioso, a menudo a través de phishing. SmartScreen, que está activado de forma predeterminada en las nuevas versiones de Internet Explorer, ayuda a proteger contra sitios web de phishing. Seguimos recomendando a los clientes que eviten abrir enlaces de fuentes no fiables y visitar sitios no confiables, y que cierren la sesión al salir de sitios para ayudar a proteger su información", ha señalado un portavoz de Microsoft.