Nuevo fallo grave de Internet Explorer: Spoofing en descargas

internet_explorerPor si en Microsoft tenían poco con el gusano MyDoom, su navegador sigue siendo noticia por los continuos bugs de seguridad que se le descubren. En Diciembre fue detectada uno de ellos, el llamado problema del «spoofing en la url» que consiste en la posibilidad de engañar al usuario sobre la dirección que está visitando, al aparecer un nombre distinto al real tanto en la barra de estado como en la barra de herramientas.

Dicho bug fue utilizado para intentar timar a los clientes por Internet del Banco Popular. Ahora ha aparecido un agujero muy similar, esta vez ligado a las descargas. Así se puede programar una página maliciosa y engañarte sobre la extensión del nombre y por tanto el tipo de archivo que te bajas de ella. Es el llamado «spoofing de descargas» y mediante él, un sitio malicioso podría enmascarar programas ejecutables y hacerlos parecer como ficheros de texto, pdf o cualquier otro formato en apariencia inofensivo. Al abrir el documento, estaríamos ejecutando el código, abriendo un agujero de seguridad considerable.

La alerta de nuevo la han dado la gente de Secunia, que de nuevo han articulado una web para que los usuarios puedan contrastar si su navegador es vulnerable: probar spoofing de descargas. Conste que la prueba es inocente, al enmascarar un «html» como «pdf» y que Mozilla.