Más de 30 agujeros que afectan al Internet Explorer, aún no tienen solución, y combinadas con otras vulnerabilidades comprometen seriamente al usuario de Windows, reavivando el eterno debate entre la funcionalidad y la seguridad.

Tor Larholm, un ex hacker "sombrero negro" (black hat), ahora investigador principal de seguridad para PivX Solutions, dice haber detectado este fin de semana, siete nuevas vulnerabilidades que se agregan a la lista de 30 sin solución en el Internet Explorer, todas descubiertas por el investigador de origen chino Liu Die Yu.

"Una de estas nuevas vulnerabilidades, explota un tipo de ataque que se ha hecho más común últimamente, como es redirigir la entrada del usuario", dice Larholm. "Esto le permite redireccionar el simple clic del mouse de un usuario (por ejemplo) al botón OK o ACEPTAR de una ventana de diálogo que pide algún tipo de confirmación relacionado con la seguridad, moviendo la ventana del navegador antes que el ratón sea liberado.

"Esto resucita el eterno debate de si es necesario incapacitar alguna funcionalidad básica, para elevar la seguridad, y temas como la programación necesaria para poder mover la ventana del navegador probablemente sean los primeros a examinar, considerando que históricamente estas cosas deterioran, antes que mejorar la experiencia del usuario."

"Las otras seis vulnerabilidades son las clásicas del tipo cross-domain scripting, que permiten el robo de las cookies y otros datos sensibles de sitios web arbitrarios, tales como su correo electrónico vía Web, o su cuenta bancaria en línea. Cuándo usted acompaña estas vulnerabilidades con cualquiera de las maneras conocidas para cargar y ejecutar archivos en la zona local de seguridad, puede ser capaz de leer archivos locales, dejar archivos y ejecutar comandos en forma arbitraria."

Larholm dijo que Liu Die Yu ya había publicado otras vulnerabilidades muy similares. "Cerca de media docena más de vulnerabilidades, bastante parecidas, fueron publicados también por Liu Die Yu, pero todas fueron parchadas hace mucho tiempo o explícitamente solucionadas por el último acumulativo del IE, el MS03-032."

"De forma similar, muchas de estas vulnerabilidades que permaneces sin parches, son conocidas y están bajo la activa investigación del centro de respuestas de seguridad de Microsoft, y estoy seguro que un nuevo parche está siendo preparado, y será liberado próximamente", culmina Larholm.

Mientras tanto, los usuarios del Internet Explorer deberían desactivar el Active Scripting y los controles ActiveX desde las propiedades de Internet para poder navegar en forma segura.

Para deshabilitar Active Scripting y los controles ActiveX, seleccione Opciones de Internet, Seguridad, Internet, Personalizar nivel, y tilde "Desactivar" en todas las opciones de Automatización y Controles y complementos de ActiveX. Recuerde que a partir de ello, muchas facilidades y opciones disponibles al visualizar algunos sitios desaparecerán o darán error.

Reproducido de; www.enciclopediavirus.com