Hoy se ha publicado el aviso relativo a una nueva vulnerabilidad de Internet Explorer. La vulnerabilidad, catalogada con el número 2501696, afectaría a casi todas las versiones de Windows (XP, server 2003, Vista y server 2008) y está provocado por un fallo en la en la gestión del protocolo MHTML (Multipurpose Internet Mail Extension HyperText Markup Language) que permitiría la inyección de código en respuesta a la ejecución de una petición web desde Internet Explorer.
Esta vulnerabilidad, catalogada como de nivel intermedio por el INTECO, podría permitir que un atacante ejecutase comandos cuando un usuario visitase páginas web manipuladas para explotar esta vulnerabilidad, corriéndose el riesgo de que el atacante podría acceder a información del usuario, por ejemplo, para robarla.
Por ahora no hay actualización que repare esta vulnerabilidad, pero Microsoft está trabajando en ella, así que, mientras tanto, Microsoft ha puesto a disposición de los usuarios un sitio web desde el que deshabilitar el protocolo MHTML, por lo que el riesgo se eliminaría, si bien hasta que no se publique el parche, la vulnerabilidad no quedaría reparada.
Adicionalmente, también se pueden tomar otras medidas para minimizar los riesgos:
* Con Microsoft Outlook, Microsoft Outlook Express, y Windows Mail abrir los mensajes HTML en la zona de sitios restringidos.
* En Windows Server 2003, 2008 y 2008 R2, asegurarnos que Internet Explorer se ejecuta en modo restringido
La vulnerabilidad se centra en Internet Explorer y su gestión del protocolo MHTML, por tanto, los usuarios de otros navegadores como Google Chrome o Firefox estarían fuera de cualquier peligro ya que, en el caso de Chrome, éste no soporta el protocolo MHTML de manera nativa y, en el caso de Firefox, tan sólo instalándole una extensión que le permita manejar este tipo de archivos.