Inicio / Alerta Temprana / Avisos Seguridad / Microsoft publica un aviso de seguridad acerca de una vulnerabilidad en Internet Explorer

Microsoft publica un aviso de seguridad acerca de una vulnerabilidad en Internet Explorer

Fecha de publicación: 
15/01/2010
Importancia: 
3 - Media
Recursos afectados: 

Según Microsoft, el único software no afectado por la vulnerabilidad es:

  • Internet Explorer 5.01 Service Pack 4 Sobre Windows 2000 Service Pack 4.
Descripción: 

Microsoft ha publicado un aviso de seguridad acerca de una vulnerabilidad en Internet Explorer que afecta a todos sus sistemas operativos y versiones de Internet Explorer excepto a una bastante antigua.

Impacto: 

En un ataque especialmente diseñado, al intentar acceder a un objeto liberado, Internet Explorer puede permitir la ejecución remota de código.

Solución: 

De momento no hay disponible una actualización de seguridad que solucione esta vulnerabilidad, pero Microsoft ha publicado como mitigar los efectos del ataque:

  • Configurar las zonas de seguridad Internet e Intranet como "alta", para que nos pregunten antes de ejecutar controles ActiveX y Active Scripting.
  • Configurar Internet Explorer para que pregunte antes de ejecutar o bien desactivar la ejecución de Active Scripting .
  • Activar Data Execution Protection (DEP) sobre Internet explorer Service Pack 2 o Internet Explorer 7.

Otra forma de evitar esta vulnerabilidad es, hasta que se publique la actualización de seguridad y en la medida de lo posible utilizar un navegador que no tenga esa vulnerabilidad.

ACTUALIZACIÓN 19/01/2010

Actualmente los exploits no funcionan sobre Internet Explorer 8 con el modo DEP Activado y el Modo Protegido. Excepto en Windows 2000, en los demás sistemas operativos se puede actualizar a ese navegador.

ACTUALIZACIÓN 21/01/2010

Desde VUPEN, se nos indica que la protección DEP en el Internet Explorer 8 puede ser evitada, de hecho ellos lo han conseguido, no obstante no han publicado el exploit. Aseguran que la única forma de estar a salvo de esta vulnerabilidad es desactivar el JavaScript en Internet Explorer, no obstante, esto limitará la funcionalidad de muchas páginas Web.

Detalle: 

Se ha publicado el Microsoft Security Advisory 979352. En el se indica que están investigando una vulnerabilidad explotada públicamente, la CVE-2010-0249.

La vulnerabilidad consiste en una referencia a puntero no válido en Internet Explorer. Bajo ciertas circunstancias es posible acceder a ese puntero inválido después de que el objeto sea eliminado.

De momento se han detectado algún ataques sobre Internet Explorer 6, no sobre otras versiones. Se seguirán monitorizando estos ataques e investigando la solución definitiva que se publicará en la actualización mensual o en una fuera de ciclo.

Actualización 20/01/2010: Microsoft confirma que están trabajando para publicar una actualización de seguridad fuera de ciclo para solucionar esta vulenrabilidad.