Inicio / Alerta Temprana / Avisos Seguridad / Vulnerabilidad 0day en Internet Explorer

Vulnerabilidad 0day en Internet Explorer

Fecha de publicación: 
22/12/2010
Importancia: 
5 - Crítica
Recursos afectados: 

Afecta a IE 8, IE 7 e IE 6 de Windows 7, Windows Vista and Windows XP SP3.

Descripción: 

El error se produce en la librería "mshtml.dll". Puede permitir que, al visitar una página web maliciosa, se ejecute código en el ordenador comprometido.

Solución: 

Hasta que salga una actualización de seguridad que solucione el problema, en la medida de lo posible, se aconseja trata de evitar visitar páginas web que no sean de confianza, o utilizar algún otro navegador que no esté afectado por esta vulnerabilidad.

Actualización del 23 de Diciembre: Microsoft ha publicado una solución provisional en su blog "Security Research & Defense" utilizando la herramienta EMET.

Actualización del 11 de Enero: En aquellas situaciones en las que no sea posible instalar EMET, Microsoft ha publicado una serie de medidas de mitigación que ayudan a reducir el impacto de la vulnerabilidad. Aún así se recomienda no visitar páginas web de origen desconocido al igual que las recibidas en correos electrónicos y cuyo remitente se desconozca hasta que Microsoft publique una actualización que solucione dicha vulnerabilidad.

Detalle: 

La vulnerabilidad está provocada por un error del tipo "usar después de liberar" (Use-after-free) en la librería "mshtml.dll", cuando se procesa una página web que hace referencia a un fichero CSS que incluye varias reglas "@import".

Hay exploits públicos que explotan esta vulnerabilidad, que evitan las medidas de seguridad DEP y ASLR y no necesitan que se encuentren instalados otros programas o extensiones de terceros.

Impacto:

Al visitar una página web maliciosa, se podrían ejecutar programas en la máquina infectada para, entre otras cosas, controlarla remotamente.