• Tweet

Una vulnerabilidad crítica que afecta tanto al Windows Media Player de Microsoft, como al navegador Internet Explorer ha sido publicada, según un reporte de una empresa de seguridad publicado el lunes.

La vulnerabilidad, que se encuentra en instalaciones predeterminadas de Windows Media Player y del navegador IE, podría permitir a un intruso lanzar un ataque de ejecución de código remoto, de acuerdo a una alerta de seguridad emitida por eEye Digital Security.

Los sistemas afectados por la vulnerabilidad incluyen Windows XP Service Pack 1 y Service Pack 2, Windows NT, Windows 2003 y Windows 2003 SP1, y todas las versiones de Windows 2000.

Aunque eEye no cree que la vulnerabilidad pueda ser convertida en "gusano", la compañía fijó su peligrosidad como "crítica" porque podría permitir la ejecución de código remoto y afecta a las instalaciones predeterminadas de Media Player y de IE, declaró un representante de eEye.

"La vulnerabilidad puede ser explotada si el usuario abre un archivo malicioso o si visita el sitio Web malicioso", dijo Marc Maiffret, jefe del departamento de intrusiones de eEye. "Después el intruso puede ejecutar código con los privilegios del usuario que está abriendo el archivo o el sitio Web".

Un vocero de Microsoft confirmó que el gigante de software había recibido la alerta de eEye, pero dado que no fueron liberados los detalles de la vulnerabilidad, no han aparecido todavía intentos de explotarla.

El Centro de Respuesta de Seguridad de Microsoft continúa investigando el reporte, dijo el vocero.

El descubrimiento de esta última vulnerabilidad viene días después de que Microsoft lanzara una alerta sobre una actualización liberada en semanas pasadas que contenía un problema que, en algunos casos, podría bloquear la computadora. Como parte de su calendario mensual de actualizaciones, Microsoft liberó la semana pasada 14 actualizaciones de seguridad para Windows, una de los cuales tenía potencial para ser explotado por un gusano.

eEye recalcó que la última vulnerabilidad no está ligada con ninguna de las 14 vulnerabilidades para las que se liberó una actualización la semana pasada.