Stefano Di Paola, un experto italiano en seguridad informática ha encontrado dos vulnerabilidades con severidad medio/alta en Internet Explorer 7. Microsoft fue notificado hace dos meses, y recién fueron hechas públicas las vulnerabilidades.

Estas podrían ser aprovechadas para realizar ataques cross-site scripting (XSS) o evadir medidas de seguridad por medio de ataques HTTP Request Smuggling (HRS).

Los ataques HRS consisten en en lanzamiento de una multiplicidad de peticiones para luego modificarlos cuando pasan por puntos intermedios como proxies, cache y firewalls.

La causa del problema son algunas cabeceras modificables con la función “setRequestHeader()”, lo que permite inyectar código arbitrario.

Las vulnerabilidades fueron probadas con la versión 7.0.5730.11, pero otras versiones estarían afectadas también.