Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
18/09/2012
Fallo de seguridad crítico en Internet Explorer
Se ha descubierto un fallo de seguridad en el navegador de Microsoft, Internet Explorer, que podría permitir a un delincuente comprometer el ordenador de un usuario si éste visita una página web que contenga código malicioso.Un fallo de seguridad en el navegador Internet Explorer podría ser utilizado por cibercriminales para comprometer ordenadores. Esto significa que un usuario que visualice una página web maliciosa con una versión vulnerable del navegador podría infectarse por un virus (o cualquier otro código malicioso) automáticamente.
A raiz de la información proporcionada por el investigador de seguridad Eric Romang, se ha descubierto una vulnerabiliad 0-day que afecta a Internet Explorer, la cual podría estar explotándose actualmente.
Según se detalla en el blog vulnhunt se trata de una vulnerabilidad de tipo use-after-free en la función execCommand, y la misma podría aprovecharse para ejecutar código en las versiones 7, 8 y 9 de Internet Explorer.
Esta vulnerabilidad está siendo utilizada activamente, como indica el análisis realizado por AlienVault. Además, se ha publicado un módulo de Metasploit que aprovecha esta vulnerabilidad.
Por su parte, Microsoft acaba de publicar un boletín sobre la vulnerabilidad.
Sistemas Afectados:Microsoft Internet Explorer 7, 8 y 9
Referencias:None
Solución:De momento no existe una solución oficial, aunque Microsoft ha publicado un boletín con algunas medidas de mitigación.
Hasta que no se libere una actualización que corrija este fallo, se recomienda utilizar otros navegadores.
Notas:AlienVault: New Internet Explorer 0-day being exploited in the wild
Microsoft Security Advisory (2757760)