Microsoft ha alertado sobre una vulnerabilidad día-cero en el navegador Internet Explorer.
Las versiones 8 y 9 de Internet Explorer están siendo atacadas para explotar la vulnerabilidad que puede permitir la ejecución remota de código. La vulnerabilidad se encuentra en la forma en que Internet Explorer accede en la memoria a un objeto que ha sido borrado o no ha sido alojado adecuadamente.
El atacante puede alojar un sitio web especialmente diseñado para explotar la vulnerabilidad e intentar persuadir al usuario, mediante invitaciones vía correo electrónico o chat, para que visite dicho sitio web usando Internet Explorer.
No hay parche oficial para corregir el fallo de seguridad. Microsoft ha publicado una solución temporal vía Fix it para prevenir la explotación de la vulnerabilidad.
Además del Fix it, es recomendable configurar en “Alto” las zonas de seguridad “Internet” e “Intranet local” para bloquear controles ActiveX y Active Scripting; así como configurar que se pida autorización antes de ejecutar Active Scripting o desactivar éste en las mencionadas zonas de seguridad. Estos cambios en la configuración de Internet Explorer puede afectar la usabilidad del sitio, por lo que es recomendable que aquellos que lo requieran sean agregados a la zona de “Sitios confiables” en Internet Explorer.
Según Microsoft, el código de explotación trabaja en sistemas con Windows XP o Windows 7.