Descubierto otro nuevo bug en Internet Explorer
Microsoft ya está trabajando para resolver un nuevo bug de seguridad relacionado con el desbordamiento del buffer de su navegador Internet Explorer. Este nuevo bug, similar al que la compañía tuvo que parchear en noviembre, permite a cualquier programador malicioso bloquear un sistema remoto a través de Internet.
El nuevo bug se activa en direcciones URL que tienen el prefijo MK, un sistema usado para enviar archivos HTML en modo comprimido, que IE4 extrae e interpreta de algunos servidores. Como IE4 solo puede leer hiperenlaces de 256 caracteres, el URL que puede bloquear el sistema debe contener al menos 257 caracteres.
Este error es una variación del bug de desbordamiento del buffer denominado «RES» que se descubrió hace unos meses, que se producía en los URL con dicho prefijo. El bug RES se consideró inusual, y el nuevo bug descubierto ahora lo es todavía más, porque cualquier programador malicioso que quiera aprovecharse de él debe conocer algunos detalles de la máquina a la que piense atacar.
El nuevo bug afecta a los usuarios de Internet Explorer 4.x bajo Windows 95 o Windows NT 4.0. En estos sistemas operativos, la versión 3 de Internet Explorer también es vulnerable si el usuario emplea el InfoViewer incluido con Visual Studio.
El problema fue descubierto por un programador que hace llamarse DilDog, que trabaja para L0pht Heavy Industries, y que también fue en su momento el descubridor del bug RES. Al respecto, comentó: «Crearon un parche para el bug RES [en noviembre], pero lo que prepararon en realidad no era un parche global que pudiera haber solucionado todos los bugs de esta naturaleza».
Microsoft ha asegurado que tendrá listo un nuevo parche en una semana.
Más información: <http://www.microsoft.com/spain>
