viernes, 5 de noviembre de 2010

Nueva vulnerabilidad de Microsoft Internet Explorer explotada activamente y sin parche disponible por el momento

Microsoft ha anunciado un aviso de seguridad en el que informa de una vulnerabilidad descubierta recientemente en el navegador Internet Explorer en todas sus versiones con soporte. Esta vulnerabiliad, que reside en el tratamiento de las hojas de estilo CSS, permite la ejecución remota de código arbitrario mediante el uso de un exploit que no sólo se encuentra disponible (por tanto, se trata de una vulnerabilidad 0-day) sino que ya se está utilizando para alojar en sitios web de Internet páginas maliciosamente preparadas que al ser procesadas por un Internet Explorer vulnerable provocan la ejecución de un programa de intenciones normalmente maliciosas (como por ejempllo la instalación de un malware en el sistema operativo Windows desde el que se navega).

Por poner un ejemplo, se tiene constancia expresa de correos electrónicos que se han enviado intencionadamente con enlaces a páginas web de este tipo, que provocan la instalación de un malware del tipo "troyano" a su vez del tipo "Command and control" [C&C], es decir, de los que se conectan periódicamente a sitios elegidos de internet para recibir instrucciones sobre cómo actuar en cada momento o, lo que es lo mismo, troyanos que permiten en la práctica el control remoto completo del equipo (y su entorno accesible) sin necesidad de tener acceso directo al equipo.

Microsoft está desarrollando las actualizaciones necesarias para corregir este problema. Mientras tanto recomienda como contramedidas: anular el procesamiento de hojas de estilo CSS procedentes de Internet definiendo una de usuario aplicable siempre (alterando por tanto el aspecto de la inmensa mayoría de las páginas de Internet así como en muchos casos su funcionamiento útil ), fijar las zonas de seguridad del navegador a un nivel Alto (con lo que aplicaciones, especialmente las de la Intranet, basadas en tecnología ActiveX pueden dejar de funcionar) habilitar DEP en el caso de IE 7 o desplegar EMET.


Entradas relacionadas:

2 comentarios:

Anónimo dijo...

Además de las contramedidas sugeridas por Microsoft en espera del parche (lógicamente la unica que aporta seguridad total ante este problema es la deshabilitar CSS pero menudo follón te va a montar en la usabilidad de las páginas) existe otra evidente: utilizar otro navegador salvo cuando sea estrictamente necesario para un sitio oficial o algo asi que dé problemas con el otro navegador.

Yo al menos, que sigo el temea intento usar otro navegador durante los períodos entre conocimiento de vulnerabilidad explotándose en Internet y la existencia del parche automático de Microsoft

Ya he visto mas de una vez esa situación como me salta el antivirus mientras navego sin aceptar ninguna ejecución y por desgracia el antivirus no es una medida suficiente con lo que no me puedo fiar

Sí, últimamente Firefox también ha tenido vulenrabilidades conocidas sin parche, pero el parche está disponible siempre al final en un día más o menos! y por tanto e n tu equipo gracias a sus actualizaciones automáticas; así que es muchísimo menos probable que tengas un problema que si navegas con Internet Explorer. En el caso de Internet Explorer, y eso que detrás está la empresa informática más importante del mundo, tardan muchísimo. De hecho, entre los parches anunciados del próximo martes no hay ninguno para Internet Explorer.

Anónimo dijo...

Tengo miedo