¡Alerta! En las últimas horas se ha detectado un bug queespía la escritura que realizamos en Internet Explorer. El quefuera hace muchos años la primera opción para los internautas, haido decayendo durante el tiempo a favor de Mozilla y de Google Chrome . Y el hecho de que sehaya descubierto este importante fallo deseguridad no parece que vaya a ayudar mucho a recuperarla confianza.
El bug de Internet Explorer está alojado en la última versión y detecta lo que elusuario escribe en la barra de direcciones, las URLs que visita ylos términos que introduce en el navegador. Este grave fallo hasido detectado por el experto en seguridad Manuel Caballero, quienalertaba este martes del grave riesgo que supone al estar en riesgola privacidad.
1. Cuando se carga una página con unaetiqueta de objeto HTML maliciosa. En este caso, losatacantes tienen la capacidad de ocultar etiquetas HTML maliciosasen sitios infectados o cargarlas a través de banners publicitariosusando un código personalizado HTML / JavaScript.
2. Cuando se presenta la metaetiqueta decompatibilidad en su código fuente. La meta etiquetaX-UA-Compatible permite a los autores de una página web elegir laversión de Internet Explorer en la que mostar la página. Esimportante tener en cuenta que casi todos los sitios en Internettienen una metaetiqueta de compatibilidad, lo que hace que el robode información sensible sea fácil.
Estos son los antivirus más vendidos en AmazonEspaña
El error en Internet Explorer se produce cuandoel código JavaScript se ejecuta en la etiqueta HTML del objetomalintencionado, de tal manera que "el objeto de ubicación seconfunde y devuelve la ubicación principal en lugar de la suyapropia" . Esto significa que la etiquetaHTML de objeto malintencionado, que se puede cargar y ocultardentro de una página, tendrá acceso a todos los recursos einformación disponibles anteriores a la ventana principaldel navegador.
Técnicamente hablando, el objeto malintencionado puede "recuperar la ubicación.href del objeto mientras el usuarioestá saliendo de la página principal" , permitiendo a unatacante saber qué palabras se escribieron en la barra dedirecciones.
Este experto en seguridad informática fue el mismo que hace untiempo descubrió un error por el cual el códigoJavaScript malicioso persistía y seguía funcionando en el fondodel navegador incluso si el usuario ha cerrado la pestaña de lapágina que lo contiene. Se trata de un agujero de seguridad queabre la puerta a una utilización fraudulenta con el fin de criptarmonedas. A este fallo se suma también la vulnerabilidadZero Day descubierta a primeros de año.
Por su parte, Microsoft ha declarado que "tiene elcompromiso de investigar los problemas de seguridad reportados yactualizar proactivamente los dispositivos afectados lo más prontoposible" . Habrá que esperar a una nueva versión delnavegador para comprobar si ha desaparecido este bug de InternetExplorer que espía la información y roba datossensibles.
[Fuente: arstechnica y bleepingcomputer ]
Post a Comment