La decisión de Microsoft de resolver este problema ha estado incitada por una presentación que tuvo lugar la semana pasada en el marco de la conferencia de seguridad Black Hat Europe (Barcelona). En ella, los investigadores Eduardo Vela Nava y David Lindsay mostraron cómo el filtro de scripting de sitios cruzados de IE8 –una funcionalidad antimalware que debutó el año pasado en una beta del navegador- podía ser utilizado por los hackers para evitar los filtros y hacer posible el scripting cross-site (XSS) en perjuicio de websites que, de otra forma, serían seguros. Entre los websites sobre los que era posible cometer abuso se incluían el propio motor de búsquedas de Microsoft, Bing, además de Digg, Google, Twitter, Wikipedia y otros muchos.

IE8 utiliza lo que Vela Nava y Lindsay denominan técnica de “neutralización” para anular tentativas de ataques de scripting cross-site. El problema es que los atacantes pueden manipular el mecanismo para conseguir sus propios objetivos. “Un atacante puede explotar esta funcionalidad con el fin de impedir que funcionen las capacidades de seguridad de la parte cliente”, explicaron los dos expertos.

Aunque Microsoft ya ha resuelto algunos de los escenarios de ataque expuestos por Vela Nava y Lindsay en actualizaciones anteriores de IE –MS10-002 y MS10-018, emitidas respectivamente como parches de emergencia en enero y marzo-, ayer la compañía anunció que lanzaría una nueva para bloquear otro posible vector de ataque.

Otros navegadores, incluido Chrome de Google, también ofrecen filtrado de scripting de sitios cruzados, pero, según Lindsay, los usuarios de este navegador no se ven afectados por el problema. El motivo es que la técnica de “neutralización” de Chrome se basa en bloquear completamente las páginas web, mientras que la del navegador de Microsoft es modificar la respuesta.