Inicio / Alerta Temprana / Avisos Seguridad / 0day en Internet Explorer

0day en Internet Explorer

Fecha de publicación: 
17/09/2012
Importancia: 
5 - Crítica
Recursos afectados: 

Versiones 7, 8 y 9 de Internet Explorer

Descripción: 

Vulnerabilidad de tipo 0day en Internet Explorer.

Solución: 

Se recomienda utilizar otro navegador hasta que Microsoft. solucione dicha vulnerabilidad

ACTUALIZACIÓN 18/09/2012

Aunque no ha salido la actualización para solucionar esta vulnerabilidad, desde Microsoft han publicado una serie de medidas para mitigarla:

  • Instalar y configurar EMET para proteger Internet Explorer (iexplorer.exe).
  • Configurar la seguridad para las zonas de Internet e Intranet como «Alta», con el fin de bloquear los controles ActiveX y los Scripts en esas zonas. Esta acción hay que valorarla, ya que limitaremos la funcionalidad de las páginas y servicios Web, al limitar las posibilidades del navegador.
  • Añadir sitios a la zona de confianza del navegador, después del paso anterior. Pero se aconseja añadir sitios realmente seguros.
  • Configurar Internet Explorer para que pregunte antes de ejecutar un Script, o directamente que los desactive. Seguimos teniendo en cuenta la pérdida de funcionalidades que supone.

Para ampliar la información se puede consultar el aviso de Microsoft.

ACTUALIZACIÓN 20/09/2012

Microsoft ha publicado un fix-it para solucionar la vulnerabilidad en su navegador. Es importante destacar que según las declaraciones del equipo de Rapid7 la instalación de dicho parche no garantiza al 100% la protección del usuario ya que, bajo ciertas circunstancias, la explotación de la vulnerabilidad todavía puede ocurrir.

Detalle: 

A raíz de la información proporcionada por el investigador de seguridad Eric Romang, se ha descubierto una vulnerabilidad 0-day que afecta a Internet Explorer, la cual podría estar explotándose actualmente.

Según se detalla en el blog vulnhunt se trata de una vulnerabilidad de tipo use-after-free en la función execCommand y la misma podría aprovecharse para ejecutar código en las versiones 7,8 y 9 de Internet Explorer.