Una vulnerabilidad en Internet Explorer pone en riesgo las credenciales de los usuarios, Microsoft está trabajando para solucionarlo

Hoy se reveló una nueva vulnerabilidad en Internet Explorer. Esta vulnerabilidad es aplicable a todas las últimas versiones de IE y permite que cualquier persona acceda a las credenciales de inicio de sesión del usuario. Este es un error de secuencias de comandos entre sitios universales (XSS) y un exploit de prueba de concepto fue publicado recientemente en la web.

Para demostrar el ataque, el contenido de dailymail.co.uk fue cambiado por un dominio externo.

Una vez en posesión de la cookie, un atacante podría acceder a las mismas áreas restringidas normalmente disponibles solo para la víctima, incluidas aquellas con datos de tarjetas de crédito, historiales de navegación y otros datos confidenciales. Los phishers también podrían explotar el error para engañar a las personas para que divulguen las contraseñas de sitios confidenciales.

Microsoft es consciente de este error y ya está trabajando en una solución.

No tenemos conocimiento de que esta vulnerabilidad se esté explotando activamente y estamos trabajando en una actualización de seguridad. Para explotar esto, un adversario primero necesitaría atraer al usuario a un sitio web malicioso, a menudo a través de phishing. SmartScreen, que está activado de forma predeterminada en las versiones más recientes de Internet Explorer, ayuda a proteger contra los sitios web de phishing. Seguimos alentando a los clientes a que eviten abrir enlaces de fuentes que no son de confianza y visitar sitios que no son de confianza, y que se desconecten cuando abandonen los sitios para ayudar a proteger su información.

vía: Ars Technica