La combinación de vulnerabilidades de IE hace posible para intrusos enviar una serie de comandos al PC del visitante, pudiendo borrar archivos de la máquina o, en el peor de los casos, el contenido de todo el disco duro. De nada sirve instalar las últimas actualizaciones de seguridad de Internet Explorer, y la única protección posible es desactivar la función Active Scripting en el navegador.
El grave problema de seguridad fue detectado por el experto sueco Andreas Sandblad, quien señala que el error radica en la función cross-site-scripting, que hace posible abrir una línea de comandos para invocar programas con parámetros aleatorios.
El problema surge debido a la posibilidad de usar JavaScript para manipular los contenidos de otra ventana. En un ejemplo presentado por Sandblad se abre una nueva ventana de Internet Explorer con un archivo de ayuda que es ejecutado con derechos locales en el PC intervenido.
A diferencia de anteriores agujeros de seguridad en Internet Explorer, el método descrito por Sandblad permite enviar parámetros al programa invocado. De esa forma es posible escribir en la nueva ventana texto como format c:, que puede formatear todo el disco duro, borrando sus contenidos.
El experto relata que el método funciona con Internet Explorer 6, aún cuando el usuario haya instalado todos los parches de seguridad publicados hasta ahora por Microsoft. Sandblad asegura además haber notificado a Microsoft el pasado 4 de octubre, pero que la compañía aún no publica el código reparador que solucione el problema.
En Internet ya circula la descripción de un procedimiento para explotar la vulnerabilidad. En el caso de este ejemplo práctico se puede formatear, y con ello borrar, todo el contenido de un disquete. El formateo comienza en el momento mismo en que el usuario visita un sitio web que contiene el código.
La única forma de impedir que el código se autoejecute en el PC es, según se señaló anteriormente, desactivar la función Active Scripting en las preferencias de seguridad de Internet Explorer.
