No es necesario que hagamos nada especial para abrir la puerta a los atacantes, ya que por el mero hecho de visitar una página web maliciosa o por leer on-line un mensaje de correo podemos desencadenar los problemas. Basta con que la opción "vista previa" esté activada para que la vulnerabilidad funcione, con lo que el intruso podría hasta formatear el disco duro del equipo del internauta afectado.

El agujero radica, según el experto, en los archivos con extensión .EML, que contienen mensajes de correo en formato "MIME Multipart", utilizado para enviar cualquier e-mail a través de servidor SMTP. Explorer interpreta este tipo de archivos para visualizar el contenido de un mensaje de correo. Adjuntando un archivo ejecutable y mediante una manipulación a través de una trama embebida en el cuerpo del mensaje, el navegador IE ejecutará el código contenido en el archivo adjunto, sin necesidad de que el receptor lo abra o ejecute.

El investigador ha esperado a que la firma Microsoft preparase su parche antes de comunicar el fallo, como ya ha hecho en otras ocasiones, ya que no es la primera que García Cuartango descubre una vulnerabilidad en los productos de la compañía. El parche sólo es válido para versiones del sistema operativo y navegadores en inglés: si se usa Windows en castellano y el navegador en inglés no funciona, aunque Microsoft publicará en breve un nuevo parche. Otra solución para el fallo, según apuntan desde Kriptópolis, sería instalar los reproductores Windows Media Player 7 o Real Audio.

Para más información dirigirse al site de Kriptópolis: 161.58.220.120, o de Microsoft: www.microsoft.com/technet/.