La compañía Euro Trust 112 distribuyó un alerta de seguridad luego de haber identificado una vulnerabilidad en el programa Internet Explorer. El problema consiste en que intrusos pueden valerse de un servidor web para descargar archivos locales desde el PC del usuario del programa y, por ende, acceder a información sensitiva.
La debilidad se ocasiona por un script en una página HTML, que puede ser ejecutado con menos restricciones que lo normal, al inducir al usuario a iniciarlo presionando la tecla Ctrl. Así, el script puede ser usado para acceder al disco duro de la víctima, sin que esta sospeche lo que está ocurriendo.
Según Euro Trust 112, Microsoft ha señalado que el problema descrito no les compete según su política de seguridad, por lo que no tiene contemplado crear un parche o código reparador para Internet Explorer.
Internet Explorer permite, al igual que muchos otros programas, usar la tecla Ctrl en combinación con otras para ejecutar funciones de uso corriente. Ejemplos de ello son: Ctrl+P para imprimir una página, Ctrl+O para abrir un sitio, Ctrl+N para abrir una nueva ventana, Ctrl+D para crear un sitio favorito, Ctrl+C para copiar texto marcado, Ctrl+W para cerrar la ventana activa, etc.
“Al llegar a un sitio web maligno o hackeado en que esté instalado el script en cuestión, el uso que el visitante haga de tales combinaciones de teclas puede resultar en que, sin sospecharlo, esté enviando archivos locales de su PC a este sitio”, explica Euro Trust 112.
El uso que los usuarios de tales sitios malignos, o los hackers, hagan de los archivos descargados, es cuestión de fantasía. Por ejemplo, varios programas usan carpetas estándar del sistema para guardar listas de direcciones o de contraseñas, o información del sistema, que de esta forma queda totalmente expuesta para intrusos.
