Microsoft alerta de un nuevo agujero de día cero en Windows
Microsoft ha advertido a los usuarios de Windows sobre la existencia de una nueva vulnerabilidad no parcheada que puede ser explotada por los atacantes para robar información e instalar malware.
El fallo de seguridad está relacionado con el gestor de protocolo MHTML (MIME HTML) de Windows y permite a los atacantes correr scripts maliciosos dentro de Internet Explorer (IE).
“La mejor manera de hacerse una idea del problema es definirla como una variante de una vulnerabilidad de scripting cross-side”, explica Andrew Storms, director de operaciones de seguridad de nCircle Security.
Este tipo de vulnerabilidades pueden ser utilizadas para insertar scripts maliciosos en una página web, un código que después toma el control de las sesiones mantenidas por el usuario con esa página. “Un atacante podría después hacerse pasar por el legítimo usuario y actuar como si fuera él sobre ese sitio específico; por ejemplo, enviando correos electrónicos desde Gmail o Hotmail en su nombre”.
El protocolo afectado, MHTML, es un protocolo de página web que combina recursos de formatos diversos –imágenes, applets Java, animaciones Flash, etc.- en un único archivo. Sólo los navegadores IE de Microsoft y Opera de Opera Software lo soportan de forma nativa.
Microsoft ha asegurado estar ya trabajando en el desarrollo de una actualización de seguridad para resolver el problema, aunque aún no ha dicho cuándo estará disponible el parche correspondiente.
“La mejor manera de hacerse una idea del problema es definirla como una variante de una vulnerabilidad de scripting cross-side”, explica Andrew Storms, director de operaciones de seguridad de nCircle Security.
Este tipo de vulnerabilidades pueden ser utilizadas para insertar scripts maliciosos en una página web, un código que después toma el control de las sesiones mantenidas por el usuario con esa página. “Un atacante podría después hacerse pasar por el legítimo usuario y actuar como si fuera él sobre ese sitio específico; por ejemplo, enviando correos electrónicos desde Gmail o Hotmail en su nombre”.
El protocolo afectado, MHTML, es un protocolo de página web que combina recursos de formatos diversos –imágenes, applets Java, animaciones Flash, etc.- en un único archivo. Sólo los navegadores IE de Microsoft y Opera de Opera Software lo soportan de forma nativa.
Microsoft ha asegurado estar ya trabajando en el desarrollo de una actualización de seguridad para resolver el problema, aunque aún no ha dicho cuándo estará disponible el parche correspondiente.
