Un investigador ha descubierto un fallo de seguridad en Internet Explorer que permite a los piratas informáticos robar archivos de los sistemas Windows, y lo peor de todo es que Microsoft no tiene prisa en lanzar un parche.

La vulnerabilidad en Internet Explorer reside en la forma en que este navegador procesa los archivos MHT. Se trata del estándar predeterminado en el que todos los navegadores de Internet Explorer guardan páginas web cuando un usuario pulsa “Control + S”.

Los navegadores modernos ya no guardan páginas web en formato MHT, dado que utilizan el formato de archivo HTML estándar. Sin embargo, todavía muchos navegadores actuales admiten el procesamiento del formato antiguo.

Pues bien, el investigador de seguridad John Page, ha publicado detalles sobre esta vulnerabilidad de Internet Explorer que puede ser explotada cuando un usuario abre un archivo MHT.

Según el investigador, este fallo puede “permitir a los atacantes exfiltrar potencialmente archivos locales y realizar reconocimientos remotos en la información de la versión del programa instalada localmente”.

Debido a que en Windows todos los archivos MHT se configuran automáticamente para abrirse de manera predeterminada por Internet Explorer, es muy fácil que un usuario abra uno de estos archivos que hubiera recibido a través del correo electrónico o mensajería instantánea.

El investigador señala que ha logrado probar con éxito esta vulnerabilidad en la última versión de Internet Explorer, incluso con todos los parches de seguridad recientes de los sistemas Windows 7, Windows 10 y Windows Server 2012 R2.

En todo caso únicamente Internet Explorer es usado por un 7% del total de usuarios de Internet, con lo que sería un poco complicado que este fallo pudiera afectar a un gran número de personas. Sin embargo, como Windows usa Internet Explorer como la aplicación predeterminada para abrir archivos MHT, los usuarios no necesariamente tienen que tener configurado Internet Explorer como su navegador predeterminado para ser vulnerables al ataque.

Microsoft Office e Internet Explorer, los más explotados por los hackers para robar datos

Microsoft ya fue notificado desde el 27 de marzo sobre dicha vulnerabilidad, pero los de Redmond no lo consideran un error grave de seguridad, con lo que aún no lo han parcheado. En todo caso se espera que en un futuro se lance una actualización.