[Actualizacion: De acuerdo a la informacion publicada, se aclara que unicamente la version 6 de IE es vulnerable. 27/dic/2004]

¿ Que pensarían sin con un vínculo en un sitio que dice ser de “EmpresaFamosa.com”, se abre una ventana que en la dirección dice “EmpresaFamosa.com”, su contenido sea muy atractivo para que usted entre y resulte que la pagina que ve realmente está en “GranEstafa.com” ? Da miedo, no ?

Pues eso es lo que Internet Explorer permite actualmente, incluso con su “Service Pack” y parches actualizados al día de hoy (17/diciembre/2004) y si no me creen y usan explorer acá les va el ejemplo:

La siguiente dirección les llevará a la página de Secunia, empresa especializada en seguridad que preparó un ejemplo para que usted vea como su navegador permite que le engañen, lo unico que tiene que hacer es hacer clic en el vínculo Test Now – Left Click On This Link que esta en esta dirección:

http://secunia.com/internet_explorer_cross-site_scripting_vulnerability_test

La prueba es segura, es decir, no hará nada malo con su máquina, solo va a abrir una página que dice ser de www.paypal.com (usada como ejemplo), cuando en realidad el contenido se encuentra en el servidor de Secunia.

Actualización: Hispasec ha publicado también una prueba de concepto en su página:

http://www.hispasec.com/directorio/laboratorio/Software/tests/xssie.html

Que hago yo para navegar tranquilo, no uso Internet Explorer para navegar por Internet, unicamente Mozilla Firefox, del cual ya les hablé en un artículo anterior, donde encontrarán la dirección de descarga para este software, que por cierto, ya pasó los 10 millones de descargas y la que yo hice ya perdi la cuenta de cuantas veces la reparti entre quienes quieren navegar más seguro.

Yo no quiero atacar la calidad de ningun fabricante, solo quiero defender mi seguridad y sugerir que usted también lo haga, y como muchos “hasta no ver no creer” quise compartir con todos esta nota.