No presionen la tecla F1 cuando se les incite a ello

Fuente: vulnerabilityteam

Microsoft ha advertido a los usuarios de Windows XP que no presionen la tecla F1 cuando se les incite a ello a través de un sitio Web. Esta advertencia forma parte de la reacción de la compañía a una vulnerabilidad aún NO parcheada que podría ser aprovechada por los hackers para secuestrar los PC que corran Internet Explorer (IE).

Ayer tarde, en un aviso de seguridad (Microsoft Security Advosory Notification), Microsoft confirmó la existencia de esta brecha no parcheada en VBScript, descubierta por el investigador polaco Maurycy Prodeus. En el aviso, la compañía ofrecía información adicional sobre la brecha y daba algún consejo sobre la forma de proteger los PC hasta la disponibilidad del parche oficial para cubrirla.

“La vulnerabilidad se encuentra en la manera en que VBScript interactúa con los archivos Windows Help utilizando Internet Explorer”, explica el fabricante. “Si un sitio web malicioso desplegara una caja de diálogo especialmente manipulada y el usuario presionara la tecla F1, podría ejecutarse código arbitrario en el contexto de seguridad del usuario autenticado en ese momento”.

El fallo afecta a Windows 2000, Windows XP y Windows Server 2003, y a todas las versiones soportadas de IE sobre tales sistemas operativos –incluidas IE6 sobre XP-, según Microsoft. Previamente, Prodeus había dicho que los usuarios que estuvieran corriendo IE7 e IE8 estaban en peligro, pero no había mencionado IE6.

Desde Microsoft comentan que están investigando el problema y proporcionarán más información sobre este fallo de seguridad cuando finalice la investigación.