Vulnerabilidad en Internet Explorer permite el acceso a archivos locales

Microsoft ha publicado un aviso de seguridad para informar sobre una nueva vulnerabilidad en Internet Explorer (versiones 5.01, 6, 7 y 8 ) que podría permitir a un atacante remoto acceder a cualquier archivo de los sistemas afectados.

Tal y como adelantabamos en el mail que enviamos a los dados de Alta en el  servicio de informacion por e-mail  hace pocos días, aqui está este complemento de Hispasec:

Las versiones afectadas son Internet Explorer 5.01 y 6 en Windows 2000 SP4 y las versiones 6,7 y 8 de Internet Explorer bajo Windows XP SP2, SP3 y Windows Server 2003 SP2. Hay que señalar que Internet Explorer 7 o posterior en Windows Vista o posterior no es vulnerable a este problema (salvo que se haya desactivado expresamente el modo protegido del navegador).

El fallo reside en que páginas web maliciosamente creadas para explotar esta vulnerabilidad (a través del protocolo file://), podrían permitir al atacante acceder a los ficheros del sistema afectado con los mismos permisos que el usuario bajo el que se esté ejecutando el navegador. Es importante destacar que el atacante debe conocer el nombre y ruta específicos del archivo al que quiere acceder y forzar a que se renderice el contenido de esos archivos desde una web que la víctima debe visitar. De esta forma el atacante tendrá acceso a los ficheros.

Microsoft se encuentra investigando el problema y actualmente no se ha publicado actualización de seguridad para evitar esta vulnerabilidad. Si bien existen recomendaciones que pueden mitigar los efectos del problema, como habilitar el modo protegido en Internet Explorer, configurar el nivel de seguridad Alto en la Zona Internet y la recomendación habitual de utilizar cuentas de usuario limitadas.
 Fuente

Comentario:
Pues sirva ello para insistir en el peligro actual y obrar en consecuencia hasta que llegue el esperado parche…

saludos

ms, 6-2-2010