CTRL Powah! Curioso bug de Internet Explorer

Uno de los bugs más curioso de los últimos tiempos: presionar la tecla CTRL (control) mientras se usa Internet Explorer abre un agujero de seguridad que permitiría a un atacante obtener archivos del PC del usuario. Este fallo afecta a todas las versiones de Internet Explorer hasta el momento.

El problema fue descubierto por la compañía Euro Trust 112.

Y Microsoft, en su linea, según afirma Euro Trust 112, ha señalado que el problema no les compete según su política de seguridad, así que no tiene previsto crear un parche. Ejem.

Reproducido de Diario Tecnologías de la Información:

Al presionar la tecla Ctrl mientras se navega por Internet se corre el riesgo de que intrusos bajen contenidos desde el PC del usuario. El agujero de seguridad afecta a todas las versiones del navegador Internet Explorer de Microsoft.

La compañía Euro Trust 112 distribuyó un alerta de seguridad luego de haber identificado una vulnerabilidad en el programa Internet Explorer. El problema consiste en que intrusos pueden valerse de un servidor web para descargar archivos locales desde el PC del usuario del programa y, por ende, acceder a información sensitiva.

La debilidad se ocasiona por un script en una página HTML, que puede ser ejecutado con menos restricciones que lo normal, al inducir al usuario a iniciarlo presionando la tecla Ctrl. Así, el script puede ser usado para acceder al disco duro de la víctima, sin que esta sospeche lo que está ocurriendo.

Según Euro Trust 112, Microsoft ha señalado que el problema descrito no les compete según su política de seguridad, por lo que no tiene contemplado crear un parche o código reparador para Internet Explorer.

Internet Explorer permite, al igual que muchos otros programas, usar la tecla Ctrl en combinación con otras para ejecutar funciones de uso corriente. Ejemplos de ello son: Ctrl+P para imprimir una página, Ctrl+O para abrir un sitio, Ctrl+N para abrir una nueva ventana, Ctrl+D para crear un sitio favorito, Ctrl+C para copiar texto marcado, Ctrl+W para cerrar la ventana activa, etc.

"Al llegar a un sitio web maligno o hackeado en que esté instalado el script en cuestión, el uso que el visitante haga de tales combinaciones de teclas puede resultar en que, sin sospecharlo, esté enviando archivos locales de su PC a este sitio", explica Euro Trust 112.

El uso que los usuarios de tales sitios malignos, o los hackers, hagan de los archivos descargados, es cuestión de fantasía. Por ejemplo, varios programas usan carpetas estándar del sistema para guardar listas de direcciones o de contraseñas, o información del sistema, que de esta forma queda totalmente expuesta para intrusos.

Enlaces relacionados:
Noticia en Diario TI
Microsoft