Una vulnerabilidad 'día cero' del
navegador Internet Explorer, clasificada como de alta gravedad, permite extraer
los archivos guardados en los ordenadores Windows a través de archivos con
extensión MHT aprovechándose de cuando el usuario imprime la pantalla.
Como ha advertido el investigador de
ciberseguridad John Page y se recoge el sitio de seguridad Seclist, la
vulnerabilidad de Internet Explorer se aprovecha de la forma en que el
navegador procesa los archivos MHT, que se utilizaban para permitir a los
usuarios el guardado de páginas web en el navegador.
Según la investigación, "Internet
Explorer resulta vulnerable a un ataque XML de una entidad externa si el
usuario abre de forma local un archivo con extensión MHT especialmente
diseñado", ha explicado Page.
A través de esta vulnerabilidad 'día
cero', que ha sido clasificada como de gravedad alta por Page, los atacantes
pueden llevar a cabo acciones como robar archivos locales del usuario o acceder
a la información local de la información de los programas instalados.
Normalmente, al iniciar objetos
ActiveX, los navegadores de Internet muestran a los usuarios mensajes de
advertencia y los bloquean hasta que se aceptan. Este proceso de seguridad no
se sigue en determinados archivos MHT con marcadores XML maliciosos.
Asimismo, el problema de seguridad de
Internet Explorer también afectaba a los usuarios cuando llevaban a cabo
funciones al llevar a cabo comandos de guardado de páginas web como
'Control+K', imprimir pantalla o 'preview'.
La vulnerabilidad, que se encuentra
presente en Internet Explorer en su versión 11 tanto en Windows 10 como en
Windows 7, ha sido puesta en conocimiento de Microsoft, que ha respondido a
Page que "por el momento, no proporcionaremos actualizaciones sobre la
reparación de este problema, y hemos cerrado el caso".
No obstante, Microsoft ha informado en
declaraciones a Europa Press de que el desarrollo de un parche que ponga fin la
vulnerabilidad de Internet Explorer "será considerado en versiones
futuras" del servicio.
Fuente: Europa Press