Un vulnerabilidad de día cero (aún sin reparar) en Internet Explorer está siendo explotada libremente, advirtió el día de hoy Microsoft en un comunicado.
También publicó una serie de boletines con reparaciones para el software de esta compañía, como parte de su calendario de martes de parches, que incluyo una advertencia con una revisión previa que informa sobre el riesgo de ataques de ejecución remota de código en contra de los usuarios de IE 6 e IE 7.
Advierte el comunicado:
Nuestra investigación ha demostrado que Internet Explorer 8 e Internet Explorer 5.01 Service Pack 4 para Microsoft Windows 2000 Service Pack 4 no se ven afectados, y que Internet Explorer 6 Service Pack 1 en Microsoft Windows 2000 Service Pack 4 e Internet Explorer 6 e Internet Explorer 7 son vulnerables.
La vulnerabilidad existe debido a una referencia hacia un puntero no válido de se utiliza en Internet Explorer. Es posible bajo determinadas condiciones para el puntero inválido tener acceso después de que se suprime un objeto. En un ataque especialmente diseñado, al tratar de acceder a un objeto liberado, Internet Explorer puede permitir la ejecución remota de código.
Microsoft dijo que está consciente de que ataques dirigidos intentarán utilizar esta vulnerabilidad. No se ofrecieron más detalles sobre los ataques.
La compañía también dejó claro que la nueva versión del navegador - Internet Explorer 8 - no se ve afectada por esta vulnerabilidad.
Algunas mitigaciones adicionales:
* El modo protegido de Internet Explorer en Windows Vista y versiones posteriores del sistema operativo Windows ayuda a limitar el impacto de la vulnerabilidad, sí un atacante que aprovechara esta vulnerabilidad tienen derechos muy limitados en el sistema. Un atacante que aprovechara esta vulnerabilidad en Internet Explorer 6 o Internet Explorer 7 podría obtener los mismos derechos de usuario que el usuario local. Los usuarios cuyas cuentas estén configuradas con pocos derechos de usuario en el sistema podrían verse menos afectados que aquellos que cuenten con derechos de usuario administrativos.
* En un escenario de ataque Web, un atacante podría alojar un sitio Web que contuviera una página que se usará para explotar esta vulnerabilidad. Además, los sitios web comprometidos y aquellos aceptan u hospedan contenido o anuncios proporcionados por los usuarios podrían incluir contenido especialmente diseñado que permita aprovechar esta vulnerabilidad. En todos los casos, sin embargo, un atacante no podría obligar a los usuarios a visitar estos sitios web. En su lugar, un atacante tendría que convencer a los usuarios a visitar el sitio Web, normalmente dando clic en un vínculo de un mensaje de correo electrónico o de mensajero instantáneo que lleve a los usuarios al sitio Web del atacante.
* De forma predeterminada, Internet Explorer en Windows Server 2003 y Windows Server 2008 se ejecuta en un modo restringido conocido como Configuración de Seguridad Mejorada. Este modo establece el nivel de seguridad para la zona Internet en Alto. Este es un factor atenuante para sitios web que no se han agregado a la zona de sitios de confianza de Internet Explorer.
* De forma predeterminada, todas las versiones de Microsoft Outlook, Microsoft Outlook Express y Windows Mail abren los mensajes correo electrónico html en la zona de sitios restringidos, eliminando el riesgo de que un atacante pueda utilizar esta vulnerabilidad para ejecutar código malicioso. La zona de sitios restringidos ayuda a mitigar los ataques que podrían aprovechar esta vulnerabilidad mediante la prevención del uso de Active Scripting y controles ActiveX cuando se leen mensajes de correo electrónico en HTML. Sin embargo, si un usuario da un clic en un enlace dentro del mensaje de correo electrónico, el usuario todavía podría ser vulnerable a la explotación de esta vulnerabilidad a través de los escenarios de ataque Web. Además, Outlook 2007 utiliza un componente diferente para procesar el correo electrónico HTML, eliminando el riesgo de esta explotación.
A falta de un parche, los usuarios de IE deberían considerar la posibilidad de cambiar a un navegador alternativo como Mozilla Firefox, Google Chrome u Opera.
Si tiene que usar Internet Explorer, las soluciones disponibles son las siguientes:
* Modificar la lista de control de acceso (ACL) en Iepeers.dll
* Establecer la zona de seguridad de Internet y de la intranet local en "Alta" para bloquear los controles ActiveX o desactivar las secuencias de comandos ActiveX en estas zonas
* Configurar Internet Explorer para que pregunte antes de ejecutar los comandos Active o deshabilitar Active Internet y la zona de seguridad de la intranet local
* Activar DEP para Internet Explorer 6 Service Pack 2 o Internet Explorer 7
Las instrucciones para la aplicación de las soluciones están disponibles en el comunicado de Microsoft.
No hay comentarios:
Publicar un comentario