Microsoft advirtió el viernes pasado que todas las versiones de Windows (escritorio y servidor) son vulnerables a una falla de control de secuencia de comandos que podría permitir a un atacante falsificar la información que aparece en un navegador.
La revelación fue hecha en respuesta a la publicación de una prueba de concepto distribuida en internet que dejó al descubierto problemas en la forma en que Windows maneja las solicitudes en formato MIME.
El script malicioso que se ejecuta en el lado del cliente puede "suplantar contenido, divulgar información o realizar cualquier acción que el atacante pueda publicar en el sitio web afectado en nombre del usuario víctima", advirtió Microsoft.
"El impacto es el mismo en el lado del servidor, que se presenta como un ataque de cross-site scripting, pero la vulnerabilidad se encuentra en el cliente", explicó Microsoft.
Todos los servicios web de Windows que interactúan con los usuarios a través de campos de entrada son vulnerables, según Microsoft.
Mientras que Redmond ha identificado una solución relativamente simple para las versiones de escritorio, la solución temporal para las versiones de servidor es más complicada, lo que llevó a Microsoft a solicitar ayuda a Google y a otros proveedores de servicios para resolver el problema.
Sin la disponibilidad de parche o de una solución para los servidores, Microsoft recomienda a los operadores de sitios web informar a los clientes para que desactiven el controlador de protocolo MHTML.
Mas información sobre la falla aquí.