Descubierta importante vulnerabilidad día cero en Internet Explorer

Nuevo día, nueva vulnerabilidad día cero. Esta vez le toca a Microsoft Internet Explorer atraer ese tipo de publicidad que un navegador no desea, al ser divulgado públicamente un fallo de secuencias de comandos en sitios cruzados (Cross-Site Scripting o XSS).

Al estar actualmente Microsoft trabajando en buscar un parche, no parece muy responsable haberlo hecho público en estos momentos.

No hay ninguna evidencia que Microsoft no fuera capaz de cumplir ningún plazo para encontrar la solución, o que hubieran sido avisados con antelación.

De todas maneras, los detalles del fallo han sido publicados, incluyendo algunos ejemplos de cómo puede ser utilizado. Por eso ¿Qué es XSS? ¿En que afecta a mi seguridad?

SOP

La seguridad en los navegadores depende en gran medida de lo que llamamos SOP (Same Origin Policy). Una explicación sencilla es que los recursos almacenados en nuestros ordenadores relacionados con una web X, como cookies y objetos JavaScript, solo pueden ser visibles cuando se accede a la web X.

En otras palabras, si visitas mi página ejemplo.com y buscas por “perro”, yo te envío una cookie que dice “este usuario ha buscado la palabra perro”. Solo mi página debería tener los medios para leer esa información. Si vas a la web otroejemplo.com, mi cookie debería ser invisible para ellos, pero si vuelves a mi página, yo sabré que has buscado “perro”.

XSS

¿Pero qué ocurre si diseño un sistema por el que desde mi página enlazo con la tuya de manera que la adapto de manera que parezca la tuya? Si puedo hacerlo mi código JavaScript que lee la información de tu ordenador, parecería que tiene el origen de la otra web, con lo que podría acceder a tu información.

De aquí viene el nombre de secuencias de comandos en sitios cruzados. Los comandos de mi web se hacen pasar por los de otra.

Obviamente los navegadores tienen especial vigilancia en impedir este tipo de problemas, pero parece que el IE11 tiene un fallo en este sentido. Esta vulnerabilidad la han llamado CVE-2015-0072.

¿Qué hacer?

Normalmente, los agujeros XSS no son tan peligrosos como los RCE (ejecución de código remoto), que permiten a los cibercriminales implantar malware en tu ordenador sin previo aviso.

Pero los XSS pueden permitir a un atacante robarte información como cookies, lo que podría suponer que un impostor clonara tu sesión y acceder a tus cuentas online. También permiten a los “malos” reescribir datos dentro de una web con lo que, por ejemplo, pueden cambiar un enlace descarga por otro con datos infectados.

En otras palabras, presta atención al CVE-2015-0072 e instala el parche tan pronto Microsoft lo publique.

 

Para manteneros al día de las últimas amenazas haceros fans de nuestra página de Facebook o síguenos en Twitter para intercambiar experiencias en torno al mundo de la seguridad. Si deseas recibir nuestro boletín semanal de seguridad en tu correo electrónico, suscríbete en la siguiente aplicación: