Buscar

2013/09/21

Microsoft reconoce una vulnerabilidad en todas las versiones Explorer

Microsoft está investigando una nueva vulnerabilidad de ejecución remota de código en Internet Explorer, mientras prepara una actualización de seguridad para todas las versiones de su navegador (Internet Explorer 6, 7, 8, 9, 10 y 11) . La compañía ha emitido un aviso de seguridad, ya que ha confirmado los informes de que el fallo está siendo explotada en un “número limitado de ataques dirigidos” específicamente centrados en IE 8 e IE 9.

La compañía ha descubierto que la vulnerabilidad puede afectar a todas las versiones, aunque asegura que la ejecución de “versiones modernas” de Explorer tiene la ventaja de que las características de seguridad adicionales pueden ayudar a prevenir los ataques exitosos.

El fallo en cuestión hace posible la ejecución remota de código si se entra en un sitio web con contenido malicioso para su tipo de navegador específico. Un atacante puede comprometer un sitio frecuentado regularmente y de confianza o convencer al usuario para que haga clic en un enlace en otra aplicación, informa TNW.

La vulnerabilidad se produce en la medida en que Explorer obtiene acceso a un objeto en la memoria que se ha eliminado o no se ha asignado correctamente. Esto podría dañar la memoria de tal manera que podría permitir a un atacante ejecutar código arbitrario en el contexto del usuario actual dentro del navegador. Un atacante podría alojar una web especialmente diseñado para aprovecharse de esta vulnerabilidad a través de Internet Explorer y convencer a un usuario para que visite el sitio web.

A la espera del lanzamiento de un parche para el que Microsoft no ha dado una fecha, la compañía ofrece tres soluciones provisionales para mitigar los efectos del fallo. Una es aplicar la solución Microsoft Fix it “CVE-2013-3893 MSHTML Shim Workaround”, que impide la explotación de esta vulnerabilidad. La segunda es establecer el nivel de seguridad “Alto” en la Intranet local e Internet para bloquear los controles ActiveX y Active Scripting en estas zonas.

Por último, también se puede configurar Internet Explorer para que pregunte antes de ejecutar los controles ActiveX o deshabilitar las secuencias de comandos ActiveX en las zonas de Internet e Intranet. Además, Microsoft recomienda visitar sitios de confianza, que deben añadirse a la zona de sitios de confianza de Internet Explorer para minimizar los problemas.

No hay comentarios: