Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
17/01/2013
Microsoft publica un butlletí fora del cicle per a l'últim 0-day d'Internet Explorer
Microsoft ha publicat una actualització per a solucionar la greu vulnerabilitat donada a conéixer el passat 28 de desembre, i confirmada per Microsoft el mateix dia. Des de llavors romania sense pedaç i era explotada.
La vulnerabilitat permet l’execució remota de codi arbitrari a través de la visita a un lloc web especialment dissenyat. Per a això, aprofita una fallada en la forma en què Internet Explorer accedix a un objecte en memòria que haja sigut eliminat o incorrectament assignat.
Afecta les versions 6, 7 i 8 d’Internet Explorer en sistemes Windows d’escriptori (XP, Vista i 7) i Server (2003 i 2008). En el primer cas, la fallada ha sigut qualificada per Microsoft com a crítica, mentre que en els sistemes de servidor ho és com a moderada per l’ús d’Enhanced Security Configuration per defecte en estos sistemes (Internet Explorer, per defecte, es troba molt limitat en servidors). En tot cas, també permet l’execució de codi en estos. Els sistemes amb versions 9 i 10 del navegador no són vulnerables.
El butlletí MS13-008 arriba poc més de dos setmanes després que el 0-day es fera públic, i a penes una setmana després del segon dimarts del mes, dia en què Microsoft publica les seues actualitzacions. Ja existia una contramesura, distribuïda a través d’un "Fix it" publicat el 31 de desembre.
En poc menys de sis mesos, Microsoft ha publicat dos pedaços fora del seu cicle habitual per a solucionar sengles vulnerabilitats 0-day en el seu navegador. L’última vegada va ser el passat 21 de setembre, quan se solucionaven amb un butlletí cinc vulnerabilitats. Entre estes la CVE-2012-4969, també un error d’execució de codi remot que estava sent explotada activament.
Més informació: