Dos investigadores apodados «ned» y «SkyLined» descubrieron a mediados de
noviembre que un manejo inadecuado de ciertas etiquetas FRAME e IFRAME en el
código HTML podía permitir la ejecución de cualquier tipo de código en la
máquina de la víctima. La vulnerabilidad se confirmó en todos los Internet
Explorer 6.0 bajo Windows 2000 y XP, excepto XP con Service Pack 2 instalado
y podía ser explotada por la simple visita de un enlace. Tan solo cuatro
días después del descubrimiento, aparecía un virus que explotaba el fallo.
El anuncio de la vulnerabilidad y del gusano que se aprovechaba de ella se
hacía público muy pocos días antes del segundo martes de noviembre, momento
en el que Microsoft publicó su boletín de seguridad. En esa ocasión, no se
supo hasta pasada tal fecha que Microsoft no aportaba solución alguna para
este grave problema.
Por sorpresa, y sin esperar al día 14 de diciembre, Microsoft ha decidido
publicar el día uno del mismo mes una solución para este fallo, que además
incluye parches para otras vulnerabilidades anteriores que afectan a
Internet Explorer 6 con Service Pack 1 instalado.
Finalmente, los casi 31 días que se suponía iban a tener que esperar los
usuarios para la publicación de una solución, han sido reducidos a 17. Es
posible que la gravedad de la vulnerabilidad, el momento en el que fue
descubierta, el gusano que se aprovechaba del fallo y la pérdida de
credibilidad que sufre el navegador frente a alternativas fiables y
emergentes como Mozilla Firefox, hayan sido factores decisivos para la
publicación de este parche fuera de la programación oficial de la compañía.
No es la primera vez que Microsoft se ve obligada a publicar un parche fuera
de su ciclo habitual. En julio de 2004 lanzó una corrección de emergencia
ante el grave problema que suponía Scob o Download.Ject, un ataque vírico
que infectaba a usuarios de Internet Explorer que visitaran páginas web que
utilizasen un servidor HTTP de Microsoft comprometido. La combinación de
vulnerabilidades en los dos productos, resultó en la posibilidad de ejecutar
código en los usuarios que navegaran por páginas afectadas. Este fenómeno
hizo sonar la alarma entre expertos en seguridad.
En aquella ocasión, la corrección no era más que un cambio de configuración
en el navegador que no atacaba el problema de raíz, y Microsoft recomendó a
los usuarios a que esperaran un parche definitivo en la por entonces
inminente aparición del Service Pack 2 para Windows XP.
Más información y referencias:
http://www.microsoft.com/downloads/details.aspx?displaylang=es&FamilyID=c74028e2-10c9-4edd-ad0a-36493677bff8