Se ha comunicado la existencia de una vulnerabilidad crítica en el navegador Internet Explorer. Esta vulnerabilidad podría permitir a un atacante la ejecución de código arbitrario. EL requisito de explotación es que el usuario visite una página maliciosa especialmente diseñada por el atacante, además de pulsar el botón F1. La página web del atacante incitará al usuario a pulsar esta tecla para abrir la “ayuda”.
El problema está en un parámetro de la función Msgbox, modificable por una ruta de un archivo en formato hlp , de tal forma que dicho archivo se ejecutará tras pulsar la tecla F1. Seguidamente, se podría portar un archivo dll, obteniendo un archivo ejecutable.
La vulnerabilidad no afecta a sistemas operativos Windows Vista y superiores (Windows 7, Windows Server 2008 y Windows Server 2008 R2).
El resto de sistemas que ejecuten Internet Explorer 6, 7 u 8 están afectados por esta vulnerabilidad.
José Francisco Lendínez.
Áudea seguridad de la Información
www.audea.com