Internet Explorer contiene diversos archivos internos para recursos basados en HTML. La mayoría tiene por función informar sobre errores HTTP en sitios web. En inglés, tales errores son denominados Friendly http error messages. Tales archivos se basan, en gran medida, en el mismo código, aunque presentan leves variaciones de contenido dependiendo del recurso en cuestión.
La compañía GreyMagic Software detectó en febrero pasado un error de validación en dichos mensajes de error. Según la compañía, el problema radica en que el código en que están creadas las páginas toma como parámetro la URL original con el fin de mostrar el nombre completo del servidor en el mensaje de error. La compañía asegura que tal procedimiento puede ser explotado por intrusos mediante la inclusión de un script que es ejecutado en la zona de seguridad del PC.
GreyMagic dice haber informado a Microsoft sobre la vulnerabilidad el pasado 20 de febrero, y que la compañía confirmó que el error afectaba a Internet Explorer 6 y a las versiones anteriores del navegador. Sin embargo, el problema de seguridad aún no ha sido corregido, escribe GreyMagic, agregando que Microsoft le habría indicado que lo hará en una futura actualización de seguridad de Internet Explorer.
La compañía de seguridad informática Secunia sugiere a sus usuarios, como solución provisoria, desactivar la función de Active Scripting en la zona local de seguridad.
