Nuevo agujero de seguridad que afecta a los navegadores Firefox e Internet Explorer permite a intrusos instalar comandos ejecutables en un sistema vulnerable.
Según algunas fuentes, la falla ocurre debido a que el componente de Internet Explorer que gestiona las direcciones de Internet no excluye códigos malignos.
Microsoft no asume responsabilidad alguna por el error. Un portavoz de la compañía asegura que el tema ha sido estudiado acuciosamente, concluyendo que la vulnerabilidad no radica en algún producto de Microsoft.
Durante su instalación, Firefox instala un componente denominado «FirefoxURL», que permite a otros programas iniciar el navegador. La vulnerabilidad en cuestión se presenta en el punto de contacto entre Internet Explorer y Firefox. El navegador de Microsoft envía contenidos a FirefoxURL y puede incluir comandos y códigos malignos que ni Firefox ni IE logran neutralizar.
Al instalar la partícula «-crome» en el comando de ejecución de Firefox es posible incluso ejecutar scripts en el navegador, con plenos privilegios.
La compañía Symantec ha elaborado distintos escenarios posibles para la explotación de la vulnerabilidad. Las posibilidades incluyen desde la ejecución de comandos en el sistema, hasta la apertura de puertas para acceso remoto desactivando las preferencias para inicio de sesiones y cortafuegos.