17 de abril de 2019

INTERNET EXPLORER. Vulnerabilidad 'día cero' permite robo archivos guardados imprimir pantalla

Una vulnerabilidad 'día cero' del navegador Internet Explorer, clasificada como de alta gravedad, permite extraer los archivos guardados en los ordenadores Windows a través de archivos con extensión MHT aprovechándose de cuando el usuario imprime la pantalla.
Como ha advertido el investigador de ciberseguridad John Page y se recoge el sitio de seguridad Seclist, la vulnerabilidad de Internet Explorer se aprovecha de la forma en que el navegador procesa los archivos MHT, que se utilizaban para permitir a los usuarios el guardado de páginas web en el navegador.
Según la investigación, "Internet Explorer resulta vulnerable a un ataque XML de una entidad externa si el usuario abre de forma local un archivo con extensión MHT especialmente diseñado", ha explicado Page.
A través de esta vulnerabilidad 'día cero', que ha sido clasificada como de gravedad alta por Page, los atacantes pueden llevar a cabo acciones como robar archivos locales del usuario o acceder a la información local de la información de los programas instalados.
Normalmente, al iniciar objetos ActiveX, los navegadores de Internet muestran a los usuarios mensajes de advertencia y los bloquean hasta que se aceptan. Este proceso de seguridad no se sigue en determinados archivos MHT con marcadores XML maliciosos.
Asimismo, el problema de seguridad de Internet Explorer también afectaba a los usuarios cuando llevaban a cabo funciones al llevar a cabo comandos de guardado de páginas web como 'Control+K', imprimir pantalla o 'preview'.
La vulnerabilidad, que se encuentra presente en Internet Explorer en su versión 11 tanto en Windows 10 como en Windows 7, ha sido puesta en conocimiento de Microsoft, que ha respondido a Page que "por el momento, no proporcionaremos actualizaciones sobre la reparación de este problema, y hemos cerrado el caso".
No obstante, Microsoft ha informado en declaraciones a Europa Press de que el desarrollo de un parche que ponga fin la vulnerabilidad de Internet Explorer "será considerado en versiones futuras" del servicio.
Fuente: Europa Press