Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
17/01/2013
La vulnerabilidad permite la ejecución remota de código arbitrario a través de la visita a un sitio web especialmente diseñado. Para ello, aprovecha un fallo en la forma en la que Internet Explorer accede a un objeto en memoria que haya sido eliminado o incorrectamente asignado.
Afecta a las versiones 6, 7 y 8 de Internet Explorer en sistemas Windows de escritorio (XP, Vista y 7) y server (2003 y 2008). En el primer caso, el fallo ha sido calificado por Microsoft como crítico, mientras que en los sistemas de servidor lo es como moderado por el uso de Enhanced Security Configuration por defecto en estos sistemas (Internet Explorer, por defecto, se encuentra muy limitado en servidores). En cualquier caso, también permite la ejecución de código en ellos. Los sistemas con versiones 9 y 10 del navegador no son vulnerables.
El boletín MS13-008 llega poco más de dos semanas después de que el 0-day se hiciera público, y apenas una semana después del segundo martes del mes, día en el que Microsoft publica sus actualizaciones. Ya existía una contramedida, distribuida a través de un "Fix it" publicado el 31 de diciembre.
En poco menos de seis meses, Microsoft ha publicado dos parches fuera de su ciclo habitual para solucionar sendas vulnerabilidades 0-day en su navegador. La última vez fue el pasado 21 de septiembre, cuando se solucionaban con un boletín cinco vulnerabilidades. Entre ellas la CVE-2012-4969, también un fallo de ejecución de código remoto que estaba siendo explotado activamente.