Sin reparar Microsoft Flaw deja IE6 en riesgo

Una vulnerabilidad en el software de Microsoft aún sin par representa una amenaza más grave para los usuarios de Internet Explorer 6 que los de la próxima versión del navegador, advirtió el proveedor de seguridad Symantec.

Salió a la luz el software de base de datos Access de Microsoft justo como Microsoft emitió sus parches para el mes del 8 de julio. El problema está dentro del control ActiveX de Snapshot Viewer, que permite que alguien vea un informe de Access sin iniciar el software.

Los atacantes están explotando activamente la vulnerabilidad creando páginas web o piratear páginas web existentes para alojar el ataque. Los hackers atraen a las personas a las páginas a través del correo no deseado o un mensaje instantáneo.

Internet Explorer 7 les preguntará a los usuarios antes de descargar un control ActiveX en particular por primera vez. Pero Internet Explorer 6 descargará automáticamente el control ya que está firmado digitalmente por Microsoft, dijo Symantec en su aviso.

Una vez que se descarga el control ActiveX, la falla puede permitir que el atacante tome control de una PC.

Symantec informa administradores para establecer tres "bits de interrupción" para el control ActiveX, una solución de Microsoft para evitar que un control ActiveX se ejecute en Internet Explorer.

Microsoft no ha dicho hasta ahora cuándo planea lanzar una solución. La próxima ronda de reparación de la compañía está programada para el 12 de agosto.

Symantec dijo el mes pasado que los autores de crimeware habían incluido un exploit para la vulnerabilidad del visor Snapshot en Neosploit, un juego de herramientas que permite a los piratas informáticos ejecutar una serie de exploits en una PC para ver si tiene una vulnerabilidad sin parche.

Sin embargo, la semana pasada apareció que los ciberdelincuentes que crearon Neosploit habían dejado de venderlo, tal vez porque su precio -que llegaba a los 3.000 dólares- era demasiado alto y la demanda estaba disminuyendo.