¿Internet Explorer está filtrando información confidencial?

usas Internet Explorer? Si lo hace, ojalá ya haya aplicado las actualizaciones de Patch Tuesday a principios de esta semana. Pero, incluso si lo hiciera, parece que su navegador aún podría ser vulnerable a un problema potencialmente grave.

Spider.io, una compañía en el negocio de ayudar a los clientes a distinguir entre los visitantes actuales del sitio web humano y la actividad automatizada del robot, afirma haber descubierto un error que afecta a Internet Explorer, el navegador estrella actual de Microsoft, versiones 6 a 10. La vulnerabilidad permite, según los informes, rastrear la posición del cursor del mouse en cualquier parte de la pantalla, incluso si IE está minimizado.

Spider.io reveló vulnerabilidad a Microsoft el 1 de octubre de 2012, pero no fue abordado en la actualización de seguridad más reciente para Internet Explorer. Spider.io afirma que la falla se está explotando activamente y afirma que el Centro de Investigación de Seguridad de Microsoft (MSRC) ha reconocido la vulnerabilidad, pero no tiene un plan inmediato para parchearla.

[Más información: cómo eliminar el malware de su Windows PC]

Un error en IE puede filtrar información potencialmente confidencial

Le pedí a Microsoft su posición sobre la supuesta vulnerabilidad. Un vocero me envió esta respuesta oficial: "Actualmente estamos investigando este problema, pero hasta la fecha no hay informes de exploits activos o clientes que se hayan visto afectados negativamente. Brindaremos información adicional cuando esté disponible y tomaremos las medidas adecuadas para proteger a nuestros clientes ".

Jason Miller, gerente de investigación y desarrollo de VMware, cuestiona si el problema es un" error "o una" característica ". "Uno podría cuestionar si se trata de una vulnerabilidad o una característica introducida en el navegador para ayudar a establecer las métricas de uso. A pesar de todo, los investigadores han demostrado que este "problema" podría usarse maliciosamente ".

Hablé con el CTO de Qualys, Wolfgang Kandek. Expresó su preocupación por las implicaciones que tal vulnerabilidad podría tener para la banca en línea. Muchos bancos han implementado teclados virtuales en pantalla para ingresar credenciales de cuenta como medio para evitar los ataques tradicionales de registrador de teclas.

Andrew Storms, director de operaciones de seguridad de nCircle, está de acuerdo. "Este exploit hace que la mitigación sea nula y sin efecto, tiene el efecto de un registrador de claves en los teclados virtuales. Los atacantes podrían capturar los clics conectados con credenciales bancarias usando este exploit y eso no es una buena noticia para los 63 millones de estadounidenses que realizan operaciones bancarias en línea. "

Alex Horan, gerente senior de productos de CORE Security, agrega sitios web supuestamente" seguros " puede no ser tan seguro. "También refuerza que el hecho de que estés visitando YouTube o el New York Times no significa que todo el contenido de ese sitio sea propiedad o esté gestionado por ellos; publicar avisos maliciosos en sitios principales de confianza es una excelente manera de exponer tu ataque a un gran volumen de usuarios. "

Horan sugiere abandonar IE hasta que el problema sea parchado por Microsoft.

Storms dice:" Si se confirma esta vulnerabilidad, tiene el potencial de requerir un parche fuera de banda y eso es algo que a todos les gustaría evitar en esta temporada de fiestas ".