'Microsoft informa de una vulnerabilidad en el navegador Internet Explorer que podría permitir a un atacante remoto ejecutar código arbitrario, con los permisos del usuario, a través de un sitio web especialmente manipulado.
La vulnerabilidad, a la que se le ha asignado el CVE-2010-0806, se encuentra en "iepeers.dll" y está causada por un puntero inválido al que se podría acceder, bajo ciertas condiciones, tras liberar el objeto apuntado.
Microsoft ha detectado y confirma que la vulnerabilidad está siendo explotada activamente. Se consideran vulnerables las versiones 6 y 7.
Se recomienda seguir las indicaciones de Microsoft a fin de minimizar el impacto. Microsoft está trabajando para publicar un parche que solucione esta vulnerabilidad.
Opina sobre esta noticia
Más Información:
Microsoft Security Advisory (981374) [N.E. MS ofrece las siguientes opciones disponibles y válidas por sí solas para evitar el ataque por ahora disponible, pero todas ellas con algún efecto "colateral", especialmente importante en el caso de las dos últimas:
Security Advisory 981374 Released (blog MSRC) '
Fuente: Hispasec 9/03/2010
Entradas relacionadas:
La vulnerabilidad, a la que se le ha asignado el CVE-2010-0806, se encuentra en "iepeers.dll" y está causada por un puntero inválido al que se podría acceder, bajo ciertas condiciones, tras liberar el objeto apuntado.
Microsoft ha detectado y confirma que la vulnerabilidad está siendo explotada activamente. Se consideran vulnerables las versiones 6 y 7.
Se recomienda seguir las indicaciones de Microsoft a fin de minimizar el impacto. Microsoft está trabajando para publicar un parche que solucione esta vulnerabilidad.
Opina sobre esta noticia
Más Información:
Microsoft Security Advisory (981374) [N.E. MS ofrece las siguientes opciones disponibles y válidas por sí solas para evitar el ataque por ahora disponible, pero todas ellas con algún efecto "colateral", especialmente importante en el caso de las dos últimas:
- Modificar la lista de control de acceso de iepeers.dll
- Establecer el nivel de seguridad de la zona de Internet en IE a "Alto" y responder que no a las preguntas sobre ejecución de ActiveX durante la navegación en sitios "no de confianza" (i.e. aquellos sitios web que confiemos nadie, personas ajenas o malware automático, pueda modificar sus páginas)
- Desactivar "Active Scripting" (y por tanto JavaScript) al menos para los sitios "no de confianza")]
Security Advisory 981374 Released (blog MSRC) '
Fuente: Hispasec 9/03/2010
Entradas relacionadas:
- [08/07/2009] Nuevo ataque vía navegación web que aprovecha una vulnerabilidad de Windows XP y 2003 sin parche disponible
- [19/01/2010] Una vulnerabilidad de Internet Explorer sin parche disponible, detrás de ataques a grandes compañías
- [20/01/2010] Alemania y Francia recomiendan no utilizar Internet Explorer. "Exploits" mejorados
- [22/01/2010] Microsoft publica un parche en día no habitual [para corregir la vulnerabilidad de ejecución remota en Internet Explorer]
Entradas
No hay comentarios:
Publicar un comentario