Diversas entidades entre ellas el Internet Storm Center y el US-CERT, han advertido sobre otros 2 nuevos agujeros de seguridad en Internet Explorer (IE). Estos se originan pues el software no valida correctamente el contexto de seguridad de un frame que ha sido redirigido por un servidor web. Esta vulnerabilidad ha quedado registrada en el US-CERT con el código VU#713878.

Explotando este fallo un atacante puede ejecutar código arbitrario con los privilegios del usuario que está ejecutando Internet Explorer. El IE utiliza un modelo "cross-domain" de seguridad para mantener la separación entre los frames del navegador de distintos orígenes. Este modelo está diseñado para prevenir que el código de un dominio acceda a los datos de otro dominio diferente.

Convenciendo a una víctima para que visualice un documento HTML (página web, HTML, e-mail) un atacante puede ejecutar un script en un dominio de seguridad diferente del que contiene el documento del atacante. Logrando que el script se ejecute en la "Local Machine Zone", el atacante puede ejecutar arbitrariamente cualquier código con los privilegios del usuario de IE.

Hasta que Microsoft emita los parches correspondientes las soluciones recomendadas son desactivar los controles Active Scripting y Active-X. También se aconseja visualizar los correos electrónicos, sólo en modo de texto, evitando el modo HTML y mantener los antivirus muy actualizados, pues pueden ayudar a detectar algunos exploits y, por último, no "seguir" links no solicitados que lleguen por e-mails, que se encuentren en web forums o en chats. Otra posibilidad es la de utilizar otros navegadores distintos de IE, aunque mientras este este instalado en Windows siempre estará presente el agujero mencionado.

Expertos estiman que una solución apropiada requerirá reescribir bastante código de IE, por lo que no se vislumbra una rápida aparición de los parches. Podría ser que el próximo SP2 de XP ya incluya una solución a este fallo.