Últimas noticias
- Usuarios de Skype afectados por ransomware en anuncios maliciosos 01-Abr-2017
- Java y Flash encabezan la lista programas más obsoletos 31-Mar-2017
- Apple soluciona error en Safari usado en ataques de ransomware 28-Mar-2017
- Utilizan botnet GiftGhostBot para robar saldos de tarjetas de regalo 28-Mar-2017
- Expertos señalan que hay archivos sensibles expuestos en Docs.com 28-Mar-2017
- Spammers modifican archivos RTF para ocultar malware 27-Mar-2017
- Estafas de bitcoins infestan las redes sociales 25-Mar-2017
Vulnerabilidad en Internet Explorer 8 permanece sin reparar
La vulnerabilidad de seguridad en el navegador Internet Explorer 8 de Microsoft se dio a conocer por la asociación Zero Day Initiative después de que el gigante del software falló durante 180 días al tratar de arreglarla.
El miércoles pasado, la Iniciativa de Día Cero (ZDI) dio a conocer detalles sobre una nueva vulnerabilidad en Internet Explorer 8, fue descubierta en octubre y todavía no ha sido reparada.
La ZDI, un operador de vulnerabilidades de la unidad de HP TippingPoint, ofrece a los proveedores 180 días para corregir los defectos antes de que se den a conocer. La nueva vulnerabilidad de Internet Explorer 8 fue descubierta en octubre de 2013, no se incluyó en las actualizaciones de Microsoft del mes de mayo por lo que la ZDI finalmente lanzó los datos a pesar de que no está disponible el parche.
"Esta vulnerabilidad permite a un atacante ejecutar código arbitrario en instalaciones vulnerables de Microsoft Internet Explorer", dice la ZDI. "Se requiere la interacción del usuario para aprovechar esta vulnerabilidad. La víctima debe visitar una página maliciosa o abrir un archivo malicioso.
"El defecto específico se encuentra en el manejo de objetos CMarkup", de acuerdo al informe de la vulnerabilidad. "La asignación ocurre inicialmente dentro CMarkup::CreateInitialMarkup [Un apuntador colgado se libera], después de la ejecución de cierto código JavaScript y seguida de una llamada a CollectGarbage. Mediante la manipulación de los elementos de un documento, un atacante puede forzar a un apuntador colgado para ser reutilizado después de haberse liberado. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual".
Usando este fallo, un atacante podría convencer a un usuario para que haga clic en un enlace a un sitio web malintencionado o vulnerable, luego infectar el ordenador del usuario y tener los mismos privilegios que éste, dice la ZDI.
Aunque no existe un parche disponible, existen algunas soluciones, indica la ZDI. La más simple es utilizar otro navegador o una versión posterior de Internet Explorer, ya que la vulnerabilidad sólo afecta a IE8. Los usuarios también pueden configurar los ajustes de la zona de seguridad de Internet en "Alta" para bloquear los controles ActiveX y Active Scripting. Las empresas también pueden minimizar el impacto de la falla al mantener una política de mínimos privilegios que limita sus privilegios administrativos.
