El último parche de Microsoft deja sin resolver un agujero de seguridad

Un parche lanzado la semana pasada por Microsoft para solventar una vulnerabilidad en Internet Explorer no ha solucionado por completo el problema, según distintos expertos en seguridad, según informa PC World. La compañía de Redmond ha advertido que tiene conocimiento del fallo, pero no tiene constancia de que se hayan producido ataques a usuarios actualizados con el último parche de seguridad.

Uno de los expertos en seguridad que alerta sobre este problema ha desarrollado un código para atacar una versión de Windows parcheada con la última modificación de Microsoft, utilizando para ello una versión similar de Download.Jet, el código que originaba el problema.

El nuevo código puede atacar un componente de Windows distinto al que Microsoft dirigió el parche de actualización la semana pasada, por lo que un hacker podría acceder a un sistema Windows de la misma forma, incluso si contara con el último parche de actualización de Microsoft.

El componente de Windows ActiveX que ocasiona este agujero es Shell.Application, y su vulnerabilidad se descubrió el pasado mes de enero. Durante el mes de junio un grupo de hackers rusos atacó mediante el código Download.Ject este agujero de seguridad en Windows, y Microsoft decidió publicar una actualización para Windows XP, Windows 2000 y Windows Server 2003.

El parche consistía en desactivar un componente llamado ADODB.Stream que dejaba abierta la posibilidad de recibir ataques de troyanos y robo de contraseñas personales. Ahora Microsoft estudia publicar nuevas actualizaciones y parches para Internet Explorer con el fin de aumentar la seguridad del navegador.