Vulnerabilidad en Internet Explorer 6, 7 y 8

Actualización 14-Ene-2013: Microsoft ha publicado la actualización de seguridad.

Microsoft ha reportado ayer una vulnerabilidad en Internet Explorer 6, 7 y 8, que puede permitir la ejecución remota de código en el contexto de seguridad del usuario actual dentro de IE.

Para explotar la vulnerabilidad el atacante podría alojar un sitio web especialmente diseñado y convencer a un usuario para que haga click en un enlace web dentro de mensajes de chat o correo electrónico para que visite el sitio web usando IE. El atacante que explote exitosamente la vulnerabilidad podría obtener los mismos derechos de usuario que los del usuario actual. Actualmente la vulnerabilidad está siendo objeto de ataques dirigidos a través de Internet Explorer 8 para explotarla.

No existe parche oficial de seguridad, podría estar disponible en la publicación mensual de actualizaciones de seguridad de Microsoft, o antes de ser requerido. Mientras, Microsoft se encuentra trabajando en una solución FixIt que podría estar disponible en los próximos días.

Migrar a Internet Explorer 9 y 10 es la mejor opción ya que no son afectados por la vulnerabilidad.

Si no se puede migrar a IE 9 ó 10, mientras se publica la actualización de seguridad o solución temporal, es recomendable bloquear los controles ActiveX y Active Scripting, poniendo en “High” la configuración de seguridad para las zonas Internet y Local Intranet, y que pregunte antes de ejecutar las  secuencias de comandos ActiveX. Sin embargo, esto puede afectar a la usabilidad de los sitios web que se visiten por lo que los sitios considerados confiables deben ser agregados a la zona Trusted Sites de IE. También es recomendable descargar e instalar la herramienta EMET (Enhanced Experience Toolkit Mitigación), para mitigar el riesgo de explotación sin afectar a la usabilidad de sitios web.

También podría cambiarse temporalmente de navegador, por ejemplo a Chrome, Firefox, Opera. Además, usar software anti-virus, anti-spyware y de firewall, así como mantenerlos actualizado junto con el sistema operativo. Como siempre, el usuario debe cuidar no hacer click en enlaces de procedencia dudosa o desconocida, recibidos en mensajes de correo electrónico o chat.

Actualización 13-Ene-2013: Microsoft planea publicar mañana la actualización de seguridad a la vulnerabilidad clasificada como CVE-2012-4792. Se recomienda instalarla una vez que se encuentre disponible en Windows Update. Si fue aplicado el Fix It para mitigar la vulnerabilidad, no es necesario desinstalarlo antes de aplicar la actualización de seguridad.

Actualización 14-Ene-2013: Microsoft ha publicado la actualización de seguridad MS13-008. Indica que los ataques reportados han sido limitados y a IE 6-8. La actualización está disponible vía Windows Update. Recomienda que una vez instalada la actualización, desinstalar el Fix It en caso de haberlo aplicado, ya que no es necesario tenerlo instalado.

Deja un comentario