jueves, 28 de septiembre de 2017

Detectan bug de Internet Explorer que filtra lo que escribes

¡Alerta! En las últimas horas se ha detectado un bug que espía la escritura que realizamos en Internet Explorer. El que fuera hace muchos años la primera opción para los internautas, ha ido decayendo durante el tiempo a favor de Mozilla y de Google Chrome. Y el hecho de que se haya descubierto este importante fallo de seguridad no parece que vaya a ayudar mucho a recuperar la confianza.

El bug de Internet Explorer está alojado en la última versión y detecta lo que el usuario escribe en la barra de direcciones, las URLs que visita y los términos que introduce en el navegador. Este grave fallo ha sido detectado por el experto en seguridad Manuel Caballero, quien alerta del grave riesgo que supone a la privacidad.

El fallo de seguridad del navegador Internet Explorer se produce por alguna de estas dos situaciones:

1. Cuando se carga una página con una etiqueta de objeto HTML maliciosa. En este caso, los atacantes tienen la capacidad de ocultar etiquetas HTML maliciosas en sitios infectados o cargarlas a través de banners publicitarios usando un código personalizado HTML / JavaScript.

2. Cuando se presenta la metaetiqueta de compatibilidad en su código fuente. La meta etiqueta X-UA-Compatible permite a los autores de una página web elegir la versión de Internet Explorer en la que mostar la página. Es importante tener en cuenta que casi todos los sitios en Internet tienen una metaetiqueta de compatibilidad, lo que hace que el robo de información sensible sea fácil.

El error en Internet Explorer se produce cuando el código JavaScript se ejecuta en la etiqueta HTML del objeto malintencionado, de tal manera que "el objeto de ubicación se confunde y devuelve la ubicación principal en lugar de la suya propia". Esto significa que la etiqueta HTML de objeto malintencionado, que se puede cargar y ocultar dentro de una página, tendrá acceso a todos los recursos e información disponibles anteriores a la ventana principal del navegador.

Técnicamente hablando, el objeto malintencionado puede "recuperar la ubicación.href del objeto mientras el usuario está saliendo de la página principal", permitiendo a un atacante saber qué palabras se escribieron en la barra de direcciones.


Este experto en seguridad informática fue el mismo que hace un tiempo descubrió un error por el cual el código JavaScript malicioso persistía y seguía funcionando en el fondo del navegador incluso si el usuario ha cerrado la pestaña de la página que lo contiene. Se trata de un agujero de seguridad que abre la puerta a una utilización fraudulenta con el fin de criptar monedas. A este fallo se suma también la vulnerabilidad Zero Day descubierta a principios de año.

Por su parte, Microsoft ha declarado que "tiene el compromiso de investigar los problemas de seguridad reportados y actualizar proactivamente los dispositivos afectados lo más pronto posible". Habrá que esperar a una nueva versión del navegador para comprobar si ha desaparecido este bug de Internet Explorer que espía la información y roba datos sensibles.