2 de febrero de 2011

Itespresso.es

Microsoft advierte que los usuarios de Windows pueden verse afectados por una vulnerabilidad no parcheada que los atacantes podrían explotar para robar información sensible y engañar a la gente para que instale malware.

En un comunicado de seguridad, Microsoft reconoció el pasado viernes que el fallo se encuentra en el protocolo MHTML (MIME HTML) de Windows, y que puede utilizarse para ejecutar scripts maliciosos dentro de Internet Explorer.

Los fallos ‘Cross-site scripting’, también conocidos por su diminutivo XSS, se pueden utilizar para insertar scripts maliciosos en una página web para después tomar el control de la sesión. Según explica Microsoft un atacante podría querer convertirse en el usuario; además, estos scripts recopilan información del usuario, como su correo electrónico.

La nueva vulnerabilidad se hizo pública la semana pasada, cuando el site chino WooYun.org publicó una prueba de concepto.

MHTML es un protocolo de página web que combina los recursos de varios formatos diferentes en un único archivo. Sólo Microsoft Internet Explorer y el navegador de Opera ofrecen soporte para MHTML de manera nativa, mientras que en Mozilla Firefox requiere una extensión para poder leer archivos MHTML.