Nueva función de Internet Explorer
Una característica de Internet Explorer, que verifica el tipo de archivo antes de presentarlo al usuario, permite la ejecución de código JavaScript insertado en una imagen, según heise Security. La funcionalidad, llamada MIME, estaba originalmente concebida para compensar a los servidores web de enviar información errónea cuando respondían a una solicitud de una imagen.
Sin embargo, ahora parece que esta característica puede ser engañada fácilmente y que la confusión puede ser explotada a través de un archivo de imagen creado con código HTML y JavaScript incrustado, que será ejecutada por el navegador.
Heise ha publicado un documento en el que detalla el problema, presenta ejemplos y muestra a los usuarios y desarrolladores cómo mitigar el problema. En este documento se afirma que Microsoft ha identificado el problema y planea acabar con él en Internet Explorer 8. Como defensa, el documento detalla que los usuarios con SP2 de Windows XP pueden desactivar la opción MIME en Internet Explorer yendo a Herramientas — Opciones de Internet — Seguridad — Internet– Nivel personalizado y seleccionando “Abrir archivos basados en su contenido y no el nombre del archivo de extensión”. Sin embargo, esto podría reabrir antiguos agujeros de seguridad…
