Fallo de seguridad en Yahoo y Hotmail
Una compañía de seguridad israelí está advirtiendo a los usuarios de los servicios de correo electrónico basado en web de Yahoo y Microsoft de un importante fallo de seguridad que podría permitir a atacantes remotos ejecutar código malicioso en el ordenador de usuarios que acceden con el navegador Internet Explorer.
La vulnerabilidad ha sido descubierta en una característica de Internet Explorer utilizada para procesar extensiones de HTML llamada HTML+TIME. El agujero permitiría a los atacantes hacerse con el nombre de usuario y contraseña de la víctima, o navegar por los contenidos de su cuenta de correo, según la notificación emitida por GreyMagic Software. Esta compañía ha comprobado que el fallo afecta a los servicios de e-mail basado en web de Yahoo y Hotmail, pero podría afectar también a otros.
Microsoft ya ha sido informada del problema y ha parcheado su servicio Hotmail. No obstante, los usuarios de Yahoo y de otros servicios de webmail podrían seguir siendo vulnerables a este fallo, según GreyMagic.
Hotmail y Yahoo filtran los mensajes de correo entrantes en formato HTML para comprobar que no contienen código malicioso. Sin embargo, el filtrado en combinación con HTML+TIME permite utilizar esta característica para insertar código malicioso en los mensajes. El script podría ejecutarse cuando se abre el mensaje de web e-mail y utilizarlo para introducirse en la máquina en la que se lee el correo, siempre que el navegador utilizado sea Internet Explorer.
Advierten sobre vulnerabilidades del correo electrónico vía web
Mediante el uso de scripts en el código HTML, intrusos pueden leer el correo electrónico de terceros, enviar correo usurpando identidades e incluso hacerse del control de un PC intervenido.
La compañía de seguridad informática GreyMagic informa sobre un agujero de seguridad que puede estar presente en todos los servicios de correo electrónico disponibles mediante navegadores, como por ejemplo Hotmail o Yahoo Mail. La condición es que los servicios usen un filtro destinado precisamente a impedir la ejecución de instrucciones camufladas en el código HTML.
El código maligno está en condiciones de detectar la contraseña de la cuenta en línea, lo que le permite acceder a los mensajes y enviar correo en nombre del usuario afectado. Versiones más avanzadas del código detectado por GreyMagic permiten incluso usar un navegador para controlar un PC a distancia.
GreyMagic ha cooperado estrechamente con Microsoft con el fin de corregir el agujero de seguridad para el caso de Hotmail, que está protegido contra la vulnerabilidad desde el 11 de marzo. Yahoo, en tanto, no ha respondido las comunicaciones de GreyMagic, relata la compañía.
Fuente: DiarioTi