Según avisan responsables de Microsoft en un comunicado reciente, se ha descubierto una vulnerabilidad en Internet Explorer que permitiría acceder a ficheros almacenados en un sistema si se conoce el nombre del fichero y su ubicación en el disco.
Las versiones afectadas del navegador van desde la 5.01 SP4 bajo Windows 2000 hasta Internet Explorer 8 bajo Windows 7, siempre y cuando la característica Prevención de Ejecución de Datos (DEP por su traducción al inglés) se encuentre desactivada. Cabe recordar que, desde Windows Vista, la característica DEP viene activada por defecto por lo que el blanco de los posibles ataques serían los sistemas XP que no tuviesen activada esa característica en el navegador.
Aun no se tiene constancia de ataques que se aprovechen de esta vulnerabilidad pero Microsoft ya ha avisado de que podría sacar una actualización fuera del ciclo habitual si así fuese necesario.
Para poder aprovechar esta vulnerabilidad, un atacante necesitaría preparar una página web maliciosa y hacer que el usuario accediese a la misma, por ejemplo, mediante un enlace ubicado en un correo electrónico. También se pueden aprovechar sitios web legítimos vulnerables para introducir contenidos o anuncios que exploten la vulnerabilidad.
Aquellos atacantes que logren aprovechar con éxito esta vulnerabilidad conseguirían los mismos permisos en el sistema de los que disponga el usuario atacado. Aquellos usuarios que no dispongan de privilegios de administrador en sus sistemas verán mitigado el alcance del ataque.
Una vez mas, comprobamos como los sistemas mas antiguos con aplicaciones ya obsoletas son las victimas preferidas de los creadores de malware. Esto nos debería recordar la importancia de ir actualizando nuestro sistema operativo, y con él, las aplicaciones, puesto que las ultimas versiones de ambos corrigen las vulnerabilidades descubiertas o hacen que no puedan ser aprovechadas tan fácilmente.
Josep Albors