Internet Explorer tiene un fallo que roba archivos de tu PC, y Microsoft se niega a arreglarlo

Software

Internet Explorer ha ido cayendo cada vez más en el olvido, después de ser durante años el navegador web más usado. Por suerte, ahora tenemos navegadores más seguros y con más funcionalidades, como Chrome, Firefox o el propio Edge Chromium que está en desarrollo. Sin embargo, todavía millones de ordenadores usan Internet Explorer, y los ordenadores donde esté instalado son vulnerables a robo de archivos. Y Microsoft no quiere parchearlo.

Vulnerabilidad de día cero en Internet Explorer que Microsoft no quiere arreglar

Así lo ha desvelado un investigador de seguridad, que ha publicado hoy todos los detalles y una prueba de concepto que muestra cómo es posible aprovechar una vulnerabilidad de día cero en Internet Explorer que permite a un hacker robar archivos de ordenadores con Windows, incluyendo Windows 7 y Windows 10.

La vulnerabilidad está relacionada con la forma en la que Internet Explorer procesa los archivos MHT, usado por archivos MHTML Web Archive. Este es el estándar que usan todos los navegadores IE para guardar páginas web cuando le das a guardar una página. Los navegadores actuales solo usan el estándar HTML o HTM para guardar las páginas, por lo que no se encuentran afectado. A pesar de ello, algunos navegadores todavía permiten abrir archivos en ese formato.

internet explorer vulnerabilidad

La investigación publicada hoy por John Page detalla cómo la vulnerabilidad XEE (XML External Entity) puede aprovecharse cuando un usuario abre un archivo en formato MHT, permitiendo obtener archivos almacenados en el ordenador. Todos los sistemas operativos Windows tienen configurado abrir por defecto los archivos MHT con Internet Explorer, por lo que tan solo es necesario que los usuarios hagan doble click en el archivo (que pueden recibir vía email o a través de descargar de una web maliciosa) para que el atacante pueda aprovecharse de la vulnerabilidad.

La vulnerabilidad en concreto afecta a la forma en la que IE gestiona los comandos de duplicar pestaña, previsualización de impresión o el comando de imprimir. Por la forma en la que funcionan, en el archivo se puede integrar un script que haga automáticamente todo el proceso para aprovecharse de la vulnerabilidad sin que el usuario tenga que interactuar en el proceso. Además, se puede desactivar la alerta del sistema de Explorer.

La vulnerabilidad funciona en la versión más reciente de Internet Explorer 11, presente en Windows 7, Windows 10 o Windows Server 2012 R2, incluso si estos sistemas operativos tienen todos los parches instalados al día. Por ello, aunque no uses el navegador, estas expuesto a la vulnerabilidad porque, al abrir el archivo MHT, se te ejecutará automáticamente con Explorer, que se incluye en Windows 10 por motivos de compatibilidad.

Microsoft fue notificada del fallo el 27 de marzo, pero no consideraron que el fallo necesitase un parche urgente. De hecho, le respondieron el día 10 en un email diciendo que «en el futuro a lo mejor consideran arreglar el fallo en una nueva versión del producto o servicio», pero que «actualmente, no vamos a lanzar una actualización que arregle el fallo, y vamos a cerrar el caso».

Por ello, buscando forzar a que Microsoft lo arregle, Page ha publicado la vulnerabilidad de día cero en su web junto con una prueba de concepto para aprovecharse de la vulnerabilidad. Ya que Microsoft no quiere arreglarlo, podéis desactivar Internet Explorer en vuestro ordenador yendo a Panel de Control – Programas y características – Activar o desactivar las características de Windows. Ahí encontraréis Internet Explorer 11, y podéis desactivarlo si no lo usáis ni utilizáis otros programas que lo requieran.

Escrito por Alberto García

Fuente > ZDNet

Continúa leyendo
  • Demostenes

    Sin Internet Explorer ¿cómo vamos a usar Lexnet mi señoría?

  • Mauri

    menos mal que muy poca gente lo usa

    • Eduardo Miñana

      No se quién te ha dicho que IE se usa poco, es el navegador más usado en el mundo en este momento, po eso Microsoft no lo ha quitado de Windows 10

  • Yo uso IE cuando Firefox no quiere funcionar pero tampoco abriré un archivo que no se que es. Aparte muchas empresas siguen usando IE para funcionar.

  • joakin

    Pero el problema es abrir archivos mht que no sean propios, es así?
    Cuando guardo una web, la suelo guardar en este formato ya que html crea multiples archivos (htm creo que genera un único archivo también), mucho más cómodo de guardr.
    Si no se abren archivos mht ajenos, no existe problema, entiendo.
    Un saludo

  • Ricardo Antonio

    Windows 10 ya no debería venir con Internet Explorer ni Windows Media Player

    • Diego

      Con Internet Explorer estoy de acuerdo, pero Windows Media Player por qué? Es y seguirá siendo mi reproductor de música favorito, por cómo organiza la biblioteca para las canciones. No hay que hablar por todos

      • Ricardo Antonio

        Groove music o windows media player microsoft edge o internet explorer para que 2 no tiene sentido los segundos ya creo sin soporte

  • JOSE ANTONIO OSORIO RODRIGUEZ

    Hace siglos que no uso IE …… Es obsoleto, el único problema es en empresas y administraciones con software antigūo….. Pero si solamente lo usas para eso, no deberías tener ese problema…..