Un atacante podría diseñar una página Web que instalara un programa dañino en el sistema del usuario al pinchar en un objeto. Hasta el momento no hay parche para corregir el problema, los sistemas Windows XP con Service Pack 2 instalado también son vulnerables.
En un escueto mensaje en la lista Full-Disclosure se ha publicado la prueba de concepto, disponible en la dirección: http://www.malware.com/wottapoop.html
Accediendo a dicha dirección con Internet Explorer aparecerán dos líneas rojas y una pequeña imagen a la izquierda (un “smile” aplaudiendo). Si pinchamos en la imagen y, sin dejar de presionar, arrastramos y soltamos entre las dos líneas rojas (“Drag-and-Drop”, arrastrar y soltar), se habrá instalado en nuestro sistema un ejecutable, “malware.exe”, en la carpeta de Inicio, de forma que cada vez que iniciemos una sesión en el sistema el programa se ejecutará.
Para ver su efecto podemos, por ejemplo, reiniciar el sistema. En esta ocasión el ejecutable “malware.exe” es una pequeña demo que al ejecutarse simula unas llamas, como si nuestra pantalla estuviera ardiendo (pulsando cualquier tecla desaparecerá). La desinstalación del ejecutable pasa por su eliminación de la carpeta de Inicio.
En lugar de una demo inofensiva, un atacante podría haber introducido un virus o un troyano que le permitiera controlar el sistema de forma remota. También podría diseñarse un script para explotar la vulnerabilidad de forma más sencilla, sin necesidad de arrastrar y soltar, aún necesitando la interacción del usuario.
La vulnerabilidad, derivada de una falta de comprobación y/o aviso a la hora de arrastrar y soltar contenidos entre Internet y el sistema local, no tiene de momento respuesta por parte de Microsoft. Las soluciones para prevenir un potencial ataque basado en esta vulnerabilidad pasan por desactivar la Secuencia de comandos ActiveX en la configuración de Internet Explorer, cambio que podría provocar que algunos sitios Web no se visualicen de forma correcta.
En su defecto, se pueden utilizar otros navegadores que no presentan la vulnerabilidad, como Firefox o similar.
Los usuarios denunciaban que la compañía los había rastreado incluso cuando usaban el modo privado…
El Instituto Valenciano de Competitividad Empresarial financiará aquellas iniciativas que puedan solucionar incertidumbres científicas o…
Solo en el cuarto trimestre las empresas emergentes del país han levantado 1.500 millones de…
La región tiene 13 scaleups y destaca por sus empresas emergentes de salud y agrotech.
Valencia ha atraído en el primer semestre del año 30 millones de euros de inversión…
El diario estadounidense demanda a las dos compañías tecnológicas por haber usado sus contenidos para…