Una compañía de seguridad israelí está advirtiendo a los usuarios de los servicios de correo electrónico basado en web de Yahoo y Microsoft de un importante fallo de seguridad que podría permitir a atacantes remotos ejecutar código malicioso en el ordenador de usuarios que acceden con el navegador Internet Explorer.


La vulnerabilidad ha sido descubierta en una característica de Internet Explorer utilizada para procesar extensiones de HTML llamada HTML+TIME. El agujero permitiría a los atacantes hacerse con el nombre de usuario y contraseña de la víctima, o navegar por los contenidos de su cuenta de correo, según la notificación emitida por GreyMagic Software. Esta compañía ha comprobado que el fallo afecta a los servicios de e-mail basado en web de Yahoo y Hotmail, pero podría afectar también a otros.

Microsoft ya ha sido informada del problema y ha parcheado su servicio Hotmail. No obstante, los usuarios de Yahoo y de otros servicios de webmail podrían seguir siendo vulnerables a este fallo, según GreyMagic.

Hotmail y Yahoo filtran los mensajes de correo entrantes en formato HTML para comprobar que no contienen código malicioso. Sin embargo, el filtrado en combinación con HTML+TIME permite utilizar esta característica para insertar código malicioso en los mensajes. El script podría ejecutarse cuando se abre el mensaje de web e-mail y utilizarlo para introducirse en la máquina en la que se lee el correo, siempre que el navegador utilizado sea Internet Explorer.