• Tweet

Una falla que surgió el mes pasado en el servidor de Microsoft IIS parece que también se deriva un problema de cross-site scripting (XSS) con Internet Explorer, de acuerdo con el Instituto SANS.

En un boletín de este jueves, El Internet Storm Center del SANS (ISC) advierte de una falla en septiembre de Microsoft afecta a mas usuarios que los que aparentaba inmediatamente. El mes pasado, en la actualización MS06-053, Microsoft solucionaba una falla en el servicio de indexado de Windows que podría permitir a los atacantes robar información del sistema de un usuario por medio de un ataque de cross-site scripting.

Sin embargo, el problema del servicio de indexado puede ser "la punta del iceberg", de acuerdo con el SANS, el boletín de Microsoft indica que hay ademas un problema con IE que permite que los atacantes actúen, y recomienda a los usuarios apagar la detección de codificación automática del IE en su espacio de trabajo.

"La confusión es si realmente es este un problema de servidor o un problema de cliente", Swa Frantzen del ISC dijo en un boletín. "No hay duda de que no se necesita un servicio de indexado, ni un servidor IIS en el panorama, de hecho todo lo que se necesita es un navegador de Microsoft".

El loophole en IE llega por la manera en como se maneja la auto-detección de codificación y podría ser explotada relativamente fácil por atacantes con cross-site scripting, dijo Frantzen.

"No dando la codificación de regreso e incluyendo algunas secuencias aparentemente inofensivas... - basadas en datos de entrada del usuario - es suficiente para crear una vulnerabilidad XSS para los visitantes que usen NSIE", escribió.

Microsoft subestima la amenaza, diciendo que los usuarios solo están en riesgo si visitan sitios Web no confiables o comprometidos.

SANS recomienda deshabilitar la auto-detección de codificación en IE, y proporciona instrucciones de como hacerlo en su boletín.