Microsoft acaba de comunicar la aparición de una nueva vulnerabilidad 0day en Internet Explorer, vulnerabilidad que afecta a todas las versiones del navegador (del 6 al 8), para todas las versiones de su sistema operativo (XP, Vista, 7 y server 2008) y que permite la ejecución remota de código. En su comunicado, del que se ha hecho eco el Centro de Respuestas de Incidentes de Seguridad del INTECO (Instituto Nacional de Tecnologías de la Comunicación), indican que lo están investigando.
El origen de esta vulnerabilidad parece ser que es una referencia no válida de una bandera en Internet Explorer que, bajo ciertas condiciones, es accesible, incluso tras la eliminación de un objeto; por lo que un ataque diseñado, con tal fin, podría permitir la ejecución remota de código aprovechando este hecho. Microsoft informa que se están reportando ataques que intentan aprovechar esta vulnerabilidad, por lo que tomará las medidas adecuadas para solventarlo, en forma de actualización, si bien aún no tiene fecha, por lo que se desconoce si será una actualización específica o se incluirá dentro de los ciclos de actualizaciones normales de Microsoft.
Según parece, un atacante que consiga aprovechar esta vulnerabilidad podría obtener los mismos privilegios en el sistema que el usuario local, es decir, que si somos víctimas de un ataque y usamos un usuario con privilegios de administración, nuestro atacante tendrá los mismos privilegios en el sistema para campar a sus anchas. La verdad es que la cosa parece bastante grave.
Por ahora, recomiendan lo siguiente:
* Utilizar Data Execution Prevention (DEP), funcionalidad que está habilitada de forma predeterminada en Internet Explorer 8 en Windows XP Service Pack 3, Windows Vista Service Pack 1, Windows Vista Service Pack 2, y Windows 7.
* Utilizar el modo protegido de Internet Explorer en Windows Vista y Windows 7.
A lo que habrá que sumar lo de costumbre, es decir, no entrar en sitios sospechosos o que no sean de confianza.
He de reconocer que llevamos una racha demasiado larga, para mi gusto, de vulnerabilidades y fallos de seguridad. Estaremos atentos a cualquier novedad que aparezca.
Vía: INTECO-CERT | Imagen: Vulnerability Team