Una vulnerabilidad en Internet Explorer deja al navegador abierto ataques de suplantación de identidad (spoofing), según investigadores que han realizado pruebas en el navegador. La falla fue descubierta en Internet Explorer 6, 7 y 8 beta 1; y una prueba de concepto al código ha sido realizada públicamente.

Asimismo, la empresa Secunia dio a la vulnerabilidad una clasificación crítica de moderada. El problema es similar a una reportada en versiones de Internet Explorer antiguas, en el cual el navegador falla al chequear si un “frame” pertenece a un sitio Web que contiene un enlace malicioso. Si un ataque es llevado a cabo satisfactoriamente, el sitio Web podría cargar contenido malicioso dentro de un “frame” de  un sitio Web de confianza.     

El United States Computer Emergency Readiness Team (US-CERT) publicó una recomendación, en la cual avisa que el navegador no restringe el acceso a “frames”, dejándolo abierto para el ataque de suplantación de identidad. Además, informaron que el ataque podría permitir a alguien capturar las pulsaciones de teclado (Keystrokes) mientras un usuario está interactuando con una página Web en un dominio diferente.

Actualmente, no hay parche disponible para esta vulnerabilidad. Como una solución temporal, los usuarios pueden deshabilitar “Active Scripting” en la zona Internet. Esto es lo que recomienda US-CERT.

Mayor información:

http://secunia.com/advisories/30851/

http://www.kb.cert.org/vuls/id/516627

http://blogs.zdnet.com/security/?p=1370

Departamento Especializado en Seguridad - Internet

TELMEX PERÚ S.A.