Un fallo en Internet Explorer 8 está siendo explotado en Internet. Los ataques están explotando una vulnerabilidad en IE que puede permitir la ejecución remota de código si el usuario navega a un sitio malicioso usando IE8.
El usuario víctima puede ser persuadido a hacer click en enlaces incrustrados en mensajes de correo electrónico o chat que lo lleven al sitio web malicioso que está explotando la vulnerabilidad en IE8, y para la cual no hay parche oficial de seguridad.
Según Microsoft, Internet Explorer 6, 7, 9 y 10 no son afectados por la vulnerabilidad encontrada en IE8. Subir a IE 9 y 10 es la mejor recomendación aunque los usuarios de Windows XP no lo pueden hacer debido a problemas de compatibilidad.
Las recomendaciones para los usuarios que siguen usando IE8, son poner como “Alto” el nivel de seguridad para las zonas Internet e Intranet, de tal modo que sean bloqueados los controles ActiveX y la ejecución de Active Scripting. O bien, configurar Internet Explorer para que pregunte antes de ejecutar Active Scripting o desactivarla.
El no uso de los controles ActiveX o Active Scripting puede afectar la usabilidad de los sitios web que requieran dichas funcionalidades. En este caso, lo recomendable es usar la zona “Sitios confiables” para y poner en ella las direcciones web de los sitios web conocidos y en los que se confía.
Además de la seguridad en el navegador, no descuide el usar firewall, antivirus y mantener actualizado el sistema. Y por supuesto, NO hacer click en enlaces desconocidos o que estén dentro de mensajes con contenido cuestionable o de dudoda procedencia.
Actualización 9-May-2013:
Microsoft ha publicado una solución temporal a la vulnerabilidad descubierta en IE8. La solución temporal es para sistemas x86 de IE8 que hayan sido actualizados con la actualización acumulativa de seguridad para IE (MS13-028) publicada el 9-Abril-2013.
Es recomendable que los usuarios apliquen de inmediato el Fix-It temporal en tanto está disponible el parche definitivo de seguridad. Con el Fix-It instalado, IE8 tardará un poco más en iniciar.
Es posible que el parche definitivo de seguridad sea incluido en las actualizaciones de seguridad de este mes y que Microsoft publicará el próxim0 martes. Hasta entonces, y una vez instalado el parche definitivo de seguridad que corrija la vulnerabilidad en IE8, el usuario deberá desinstalar el Fix-It temporal.
También se puede utilizar la herramienta EMET (Enhanced Mitigation Experience Toolkit) para mitigar los ataques que intentan explotar la vulnerabilidad. El CERT/CC de los EEUU ha dicho que EMET 3.0 bloquea el exploit de la vulnerabilidad y menciona inclusive que la versión beta 4.0 de EMET extiende aún más la protección.