Microsoft hace pública nueva vulnerabilidad en Internet Explorer
«Microsoft está investigando nuevos créditos públicos de una posible vulnerabilidad en Internet Explorer,» dijo Dave Forstrom, director del Grupo Trustworthy Computing de Microsoft
El error apareció por primera vez a principios de este mes, cuando la empresa de seguridad francesa Vupen anunció que había descubierto una falla en el motor de Internet Explorer . Según lo publicado por Microsoft, dicha vulnerabilidad es causado por un error de usar-después-de-liberar dentro de la biblioteca «mshtml.dll» cuando procesa una página web que hace referencia a un archivo CSS (Cascading Style Sheets) que incluye varias reglas “@import”, que podrían permitir a atacantes remotos la ejecución de código arbitrario mediante una página web.
Vupen emitió un aviso el 9 de diciembre, que confirmó la vulnerabilidad en Internet Explorer 8 en Windows XP, Vista y Windows 7, y en IE6 y IE7 en Windows XP. Un atacante puede explotarlo para ejecutar código y evadir las características de seguridad “Data Execution Prevention” (DEP) y “Address Space Layout Randomisation” (ASLR).
Hasta el momento Microsoft no ha publicado ningún parche, por lo que todos los usuarios son vulnerables. Es recomendable tener habilitado el modo protegido de Internet Explorer 7 y 8 para limitar el impacto de los ataques.
Fuentes: segu-info.com.ar, cio.com.
Áudea Seguridad de la Información
Departamento de Comunicación y Marketing