EMET puede ser eludida para explotar vulnerabilidad día-cero en Internet Explorer

El martes en Twitter, Exodus Inteligence alertó que la herramienta EMET de Microsoft también puede ser eludida para explotar la vulnerabilidad día-cero recientemente descubierta en Internet Explorer 6, 7 y 8.

Exodus Inteligence es la misma empresa de seguridad que logró eludir el Fix It para mitigar la vulnerabilidad que permite la ejecución de código en el sistema vulnerable y que está siendo objeto de ataques ataques dirigidos específicamente a IE 8 para explotar la vulnerabilidad.

La afirmación de Exodus Inteligence se dio en el contexto de una conversación sostenida sobre la prueba de concepto que permite eludir el Fix It o solución temporal que Microsoft puso disponible para mitigar el fallo de seguridad en IE.

En la conversación, Aaron Portnoy, co-fundador y Vicepresidente de Investigación en Exodus Inteligence, manifiesta que enviaron a Microsoft los detalles para eludir el Fix It pero que no ha recibido respuesta de Microsoft. Una hora después, el ingeniero Jonathan Ness, del Centro de Respuesta de Seguridad de Microsoft, respondió aceptando la posibilidad de que Portnoy tenga razón, en referencia a que el Fix It pueda ser crackeado. “Pensamos que probablemente tengas razón”, dijo Ness a Portnoy.

Mientras no exista la actualización de seguridad de Microsoft, lo conveniente es migrar a IE 9 ó 10. Si no se puede migrar, por incompatibilidad del sistema, por ejemplo si usas Windows XP, considerar cambiar temporalmente a otro navegador, como Chrome, Firefox, Opera, Safari, entre tantos que hay en Internet.

Deja un comentario