Internet Explorer es el navegador web de Microsoft que ha estado con nosotros más de dos décadas, desde 1995. Aunque actualmente Microsoft está trabajando en su sucesor, Edge, IE aún viene instalado por defecto en el sistema operativo y, aunque lejos del éxito de Google Chrome, aún tiene una cuota de mercado importante, por lo que Microsoft aún ofrece soporte de seguridad para este navegador. A pesar de las actualizaciones de seguridad, recientemente un investigador acaba de encontrar una vulnerabilidad en Internet Explorer muy preocupante, tanto por su facilidad para explotarla como por las posibles acciones que se pueden realizar al hacerlo.
Manuel Caballero, un investigador de seguridad, acaba de dar a conocer una vulnerabilidad en Internet Explorer que puede permitir a cualquier sitio web malicioso saber qué estamos escribiendo en nuestra barra de direcciones al navegar online, desde direcciones URL hasta búsquedas que vayamos a realizar directamente en Bing o Google directamente desde dicha barra.
Esta vulnerabilidad, además de suponer una grave violación de nuestra privacidad, también puede ser utilizada para llevar a cabo otros ataques dirigidos, incluso en campañas fraudulentas, publicitarias o de distribución de malware. También, según aseguran los expertos de seguridad, puede ser utilizado para distribuir los famosos scripts que utilizan nuestro ordenador para minar criptomonedas, como Bitcoin o Monero.
Este fallo de seguridad aparece cuando se cumplen, principalmente, dos características. La primera de ellas es que la web cargue una porción de código malicioso, muy fácil de incrustar utilizando un anuncio de publicidad o un código JavaScript, y una etiqueta meta en el código fuente que se utilice, por ejemplo, para comprobar la versión de IE que utilizamos.
Si queremos conocer más información técnica sobre este fallo de seguridad os recomendamos leer el siguiente artículo.
Cómo probar si estamos afectados por esta vulnerabilidad de Internet Explorer
El experto de seguridad que ha descubierto la vulnerabilidad también ha creado una página web que nos permite ver en acción este fallo de seguridad. Para ello, lo único que debemos hacer es acceder a ella desde cualquier versión de Internet Explorer y, cuando cargue, escribir una nueva página, o una búsqueda, en la barra de direcciones del navegador.
Cuando pulsemos Enter, la carga de la web se detendrá, y podremos ver un mensaje donde nos aparece, precisamente, la web que habíamos introducido en la barra de direcciones.
Por el momento Microsoft no ha hablado sobre esta vulnerabilidad de su navegador. Es más, no sabemos por qué este experto de seguridad ha decidido hacer público el fallo antes que intentar participar con él en el Bug Bounty, sobre todo teniendo en cuenta que no es el primer fallo de seguridad que descubre a la compañía, y es que en ocasiones anteriores ya ha descubierto otros fallos, tanto en Internet Explorer como en el nuevo Microsoft Edge.
Esperamos que, con los próximos parches de seguridad, que llegarán el próximo 10 de octubre, la compañía lance un parche para su navegador con el que solucionar este fallo.
¿Qué opinas de este fallo de seguridad? ¿Crees que Microsoft no se preocupa como debería por la seguridad de Internet Explorer?