Internet Explorer 6 (IE6) y su sucesor IE7 contienen una vulnerabilidad que puede ser aprovechada por los atacantes para inyectar su propio código malicioso en los PC Windows, según ha alertado Microsoft. La más antigua y la más nueva de las versiones del navegador todavía soportadas por el fabricante, IE 5.01 e IE 8, respectivamente, no están afectadas por el problema.

“En este momento, tenemos ya noticias de algunos ataques dirigidos contra esta vulnerabilidad”, ha reconocido la compañía en un aviso publicado ayer simultáneamente con dos actualizaciones de seguridad que cubren ocho brechas en Windows y Office. En otro lugar, el fabricante señala que la nueva brecha de día cero ha sido ya revelada públicamente, aunque, según Andrew Storms, director de operaciones de seguridad de nCircle Network Security, “no parece que el código para su explotación haya sido hecho público”.

En opinión de Storms, probablemente, Microsoft ha tenido noticia sobre la vulnerabilidad en cuestión ya sea vía algún cliente o a través de alguna de las compañías de seguridad asociadas a su programa MAPP (Microsoft Active Protections Program).

Se trata de la segunda ocasión en 60 días en que Microsoft ha admitido que los hackers estaban explotando una vulnerabilidad no parcheada (de día cero) en IE. A mediados de enero reconoció la existencia de un fallo de este tipo que se estaba utilizando para atacar las redes de varias compañías, incluidas las de Google y Adobe. En este caso, Microsoft cubrió la brecha ese mismo mes con una actualización de emergencia (fuera de su ciclo de actualizaciones mensuales de seguridad).

Como suele ser habitual, Microsoft no ha dicho de momento cuánto tiempo tardará en estar disponible la solución para el problema ahora detectado, ni si tiene previsto emitir una actualización de emergencia para resolverlo.