La magnitud de la vulnerabilidad 0-day en el navegador de Microsoft Internet Explorer que se informó el lunes es mayor de lo que se pensaba. En un aviso de seguridad (en inglés) publicado ayer tarde por la noche, Microsoft reveló que el problema afecta desde la versión 6 a la 9 de Internet Explorer que se ejecutan en todas las versiones actualmente soportadas de Windows. La versión 10 de IE, preinstalada en el próximo sistema operativo de la compañía, Windows 8, no se ve afectada. Según Microsoft, la vulnerabilidad es un problema de referencias no válidas a puntero ya liberado (use-after-free), es decir, que esto ocurre en IE en el acceso a un objeto de memoria borrado previamente o inicializado incorrectamente.

Preparar un parche para la vulnerabilidad podría llevar a la compañía algún tiempo. En su aviso, por lo tanto, Microsoft ha proporcionado la propuesta de una lista de soluciones, la más práctica de las cuales consiste en la instalación de su bloqueador de exploits Enhanced Mitigation Experience Toolkit (EMET). EMET bien configurado activa una serie de funciones de seguridad para los procesos individuales para hacer que sea más difícil explotar las vulnerabilidades de seguridad y detener vectores de ataque.

Una alternativa es desactivar por completo las secuencias de comandos ActiveX y Scripts mediante el establecimiento de la seguridad para las zonas de Internet y la intranet local a “High” (Alto). Esto, sin embargo, limita la funcionalidad de muchos sitios web. Además, Microsoft también sugiere configurar IE para que le pida permiso antes de ejecutar secuencias de comandos – una solución igualmente impracticable.

La German Federal Office for Information Security (BSI) (Oficina Federal Alemana para la Seguridad de la Información (BSI)) ha emitido una advertencia sobre la vulnerabilidad de IE, pero recomienda una solución un tanto diferente a la sugerida por Microsoft – usar un navegador alternativo. Queda por ver si los parches de la vulnerabilidad tendrán que esperar a la próxima ronda de parches programada para el segundo martes del mes de Octubre o si un parche se lanzara antes. Los usuarios que ejecutan una versión vulnerable de IE deben desplegar una de las opciones anteriores, tan pronto como sea posible. Un module for the Metasploit attack framework  (módulo para el marco de ataque Metasploit) ya está en circulación, lo que significa que ahora cualquiera podría aprovechar esta vulnerabilidad para sus propios fines.

Traducción: Velcro

Fuente: The H Security Blog