Una nueva vulnerabilidad de día cero afecta a Internet Explorer permitiendo robos de archivos y Microsoft no lo soluciona

Una nueva vulnerabilidad de día cero afecta al navegador de Microsoft Internet Explorer, permitiendo a atacantes el robo de archivos en sistemas operativos Windows con el navegador instalado.

La vulnerabilidad reside en la forma en la que Internet Explorer de Microsoft procesa los archivos MHT, el cual es el estándar predeterminado en el que los navegadores IE guardan páginas web con el atajo Ctrl+S, al contrario que los navegadores actuales los cuales utilizan el formato HTML.

El investigador de seguridad John Page detallaba aspectos sobre la vulnerabilidad XXE (Entidad XML Externa) que puede ser explotada al abrir un HMT. Los archivos MHT se pueden abrir con el Internet Explorer, y abrir alguno de ellos que se haya recibido externamente como por correo electrónico puede dejar expuesto el sistema a dichos ataques.

Pese a que normalmente esto requiere de interacción por el usuario, la acción podría estar automatizada, Page comenta que una simple llamada a la función window.print de Javascript sería suficiente sin que el usuario en cuestión interaccione con la página web.

Page dijo que probó con éxito la vulnerabilidad en el último explorador de Internet Explorer v11 con todos los parches de seguridad recientes en los sistemas Windows 7, Windows 10 y Windows Server 2012 R2.

Lo más relevante del tema es que el mismo investigador se puso en contacto con Microsoft al descubrir la vulnerabilidad, la respuesta de Microsoft es que lo considerará en una futura revisión (actualización) del Internet Explorer, y que no piensan solucionarlo de manera inmediata.

¿Es posible que Microsoft se haya olvidado por completo de Internet Explorer tras el cambio al motor Chromium?  

Fin del Artículo. ¡Cuéntanos algo en los Comentarios!