Microsoft publicó hoy una actualización de seguridad para Internet Explorer para corregir una vulnerabilidad que se está utilizando en ataques dirigidos.
La vulnerabilidad se encuentra en la forma en que el motor de secuencias de comandos maneja los objetos en memoria en Internet Explorer. Afecta a Windows 7, 8.1, y 10, así como Windows Server 2008, 2012, 2016 y 2019.
Un ataque exitoso podría permitir al atacante la ejecución de código arbitrario en el contexto del usuario actual.
El atacante tendría que persuadir al usuario para que visite un sitio web especialmente diseñado para explotar la vulnerabilidad. La técnica de persuasión comúnmente utilizada es el envío de correo electrónico con enlaces internos para ejecutar Internet Explorer y visitar el sitio web malicioso.
El ataque exitoso permitiría al atacante obtener los mismos derechos de usuario que los del usuario actual, y en caso de que éste haya iniciado sesión con derechos de usuario administrativo, el atacante podría tomar el control del sistema afectado. El atacante podría entonces instalar programas; ver, cambiar, o eliminar datos; o crear nuevas cuentas con todos los derechos de usuario.
Los sistemas Windows que cuentan con las últimas actualizaciones de seguridad y tienen Windows Update habilitado, estarán protegidos automáticamente. Sin embargo, es recomendable verificar que la actualización haya sido implementada debido a que está siendo objeto de ataques dirigidos para su explotación.