El fallo día-cero podría permitir la ejecución remota de código.
Zero Day Initiative (ZDI) ha publicado cuatro avisos sobre vulnerabilidades descubiertas en Internet Explorer, incluyendo Internet Explorer Mobile, que podrían permitir la ejecución de código en el sistema afectado. Sin embargo, se requiere la intervención del usuario para explotar la vulnerabilidad, típicamente que visite una página web maliciosa o abra un archivo especialmente diseñado para explotar la vulnerabilidad.
No hay parche oficial de seguridad para las vulnerabilidades, cuya divulgación ahora las coloca como bajo la categoría de vulnerabilidades día-cero.
Una vulnerabilidad se encuentra en el manejo de matrices que representan celdas en tablas HTML. Fue reportada a Microsoft el 12-Nov-2014 durante el Mobile Pwn2Own. El fallo día-cero afecta a Internet Explorer, incluyendo Windows Phone.
Los otros 3 fallos día-cero sólo afectan a Internet Explorer y se encuentran en el manejo de objetos CAttrArray, CCurrentStyle y CTreePos. El primero de ellos fue reportado a Microsoft el 8 -Ene-2015 y los otros dos el 20-Ene-2015.
Un atacante podría aprovechar cualquiera de estas vulnerabilidades para ejecutar código en el contexto del proceso actual.
Siguiendo con su política de divulgación de vulnerabilidades sin corregir por más de 6 meses, ZDI ha publicado las vulnerabilidades y se espera que Microsoft actúe pronto para facilitar el parche oficial que resuelva los fallos día-cero.
Algunas medidas para mitigar el riesgo de explotación de la vulnerabilidad:
- No hacer click en enlaces dentro de mensajes de correo electrónico o mensajería instantánea.
- No abrir archivos adjuntos a mensajes recibidos de procedencia dudosa o sospechosa.
- Configurar Internet Explorer para que solicite autorización antes de ejecutar Active Scripting o desactivar éste en las zonas de seguridad “Internet” e “Intranet local”. Esto puede afectar la usabilidad del sitio web, por lo que de ser requerido entonces agregar el sitio a la zona de “Sitios confiables”.
- Utilizar EMET (Enhanced Mitigation Experience Toolkit) o Malwarebytes Anti-Exploit para hacer más difícil la explotación de la vulnerabilidad.