Un fallo en el navegador IE7 actúa como aliado de los phishers

Una vulnerabilidad recién descubierta en el navegador Internet Explorer 7 de Microsoft podría ayudar a los atacantes en sus tentativas de fraude, facilitándoles la labor de hacer pasar sitios web falsos por auténticos.

El fallo de seguridad está relacionado con la forma en que IE7 procesa la página de mensaje de error HTML (Hypertext Markup Language) almacenada localmente que generalmente se muestra cuando el usuario cancela la carga de una determinada página web, según el investigador israelí especializado en seguridad Aviv Raff.

El mensaje de error informa al usuario que “la navegación hacia la página web ha sido cancelada” y le ofrece la posibilidad de refrescarla. Si se acepta esta alternativa, el fallo permite al atacante hacer que Internet Explorer despliegue la dirección de la web diseñada como falsificación de la legítima.

Raff ha publicado un código de “prueba de concepto” que demuestra cómo es posible engañar a Internet Explorer para desplegar una página de su propio sitio web como si fuera parte del dominio cnn.com.

Este tipo de agujeros se conocen como vulnerabilidades cross-site scripting. En el caso del reportado por Raff afecta a IE7 sobre Windows Vista y XP.

Por su parte, Microsoft no ha confirmado el descubrimiento de Raff, pero ha emitido un comunicado en el que asegura estar investigando el asunto y no haber tenido hasta el momento noticia de ningún ataque dirigido contra esta vulnerabilidad.