Microsoft ha publicado una actualización para solucionar la grave vulnerabilidad dada a conocer el pasado 28 de diciembre, y confirmada por Microsoft el mismo día. Desde entonces permanecía sin parche y siendo explotada.
La vulnerabilidad permite la ejecución remota de código arbitrario a través de la visita a un sitio web especialmente diseñado. Para ello, aprovecha un fallo en la forma en la que Internet Explorer accede a un objeto en memoria que haya sido eliminado o incorrectamente asignado.
Afecta a las versiones 6, 7 y 8 de Internet Explorer en sistemas Windows de escritorio (XP, Vista y 7) y server (2003 y 2008). En el primer caso, el fallo ha sido calificado por Microsoft como crítico, mientras que en los sistemas de servidor lo es como moderado por el uso de Enhanced Security Configuration por defecto en estos sistemas (Internet Explorer, por defecto, se encuentra muy limitado en servidores). En cualquier caso, también permite la ejecución de código en ellos. Los sistemas con versiones 9 y 10 del navegador no son vulnerables.
El boletín MS13-ás de dos semanas después de que el 0-day se hiciera público, y apenas una semana después del segundo martes del mes, día en el que Microsoft publica sus actualizaciones. Ya existía una contramedida, distribuida a través de un "Fix it" publicado el 31 de diciembre.
En poco menos de seis meses, Microsoft ha publicado dos parches fuera de su ciclo habitual para solucionar sendas vulnerabilidades 0-day en su navegador. La última vez fue el pasado 21 de septiembre, cuando se solucionaban con un boletín cinco vulnerabilidades. Entre ellas la CVE-2012-4969, también un fallo de ejecución de código remoto que estaba siendo explotado activamente.
Más información:
Microsoft Security Bulletin MS13-008 - Criticalhttp://technet.microsoft.com/
No hay comentarios:
Publicar un comentario