Microsoft anuncia una vulnerabilidad 0-day que afecta a todas las versiones IE

Los de Redmond acaban de confirmar otra vulnerabilidad 0-day que afecta a todas las versiones finales de Internet Explorer hasta la fecha, es decir, IE6, IE7 e IE8. Microsoft ha explicado que el problema de seguridad está relacionado con la creación de memoria sin inicializar durante una función CSS dentro del navegador.

Según Microsoft: «Es posible que bajo ciertas condiciones de memoria sean aprovechadas por un atacante para utilizar una web creada a medida para conseguir privilegios de ejecución remota«. Ello deja claro que exploits existosos son posibles y un atacante podría tomar el control del ordenador víctima de manera remota.
Microsoft ha negado que ya halla ocurrido todavía, aunque la Proof of Concept ya está disponible en Internet e incluso ha sido añadido a Metasploit. Este agujero de seguridad afecta a IE6, IE7 e IE8 y es capaz de saltarse las medidas de seguridad ASLR (Address Space Layout Randomization) y DEP (Data Execution Prevention).

De momento no hay una actualización por parte de Microsoft aunque la compañía Microsoft Security Advisory (2488013) icomentan dos posibles soluciones temporales mientras Microsoft prepara los parches.

_________________________________

Soluciones temporales

• Activar Enhanced Mitigation Experience Toolkit (EMET)para controlar todas las DLLs cargadas
• Configurar las zonas de seguridad Internet y Red Local en grado «Alto» para bloquear controles ActiveX y Active Scripting en esas zonas.
• Utilizar cualquier alternativa a Internet Explorer: Firefox, Opera 11, Chrome o Safari, entre otros.

_______________________________