• Tweet

Microsoft advierte de una falla que afecto a todas las versiones de IE, la cual está siendo explotada actualmente.

La firma de Redmond actualizó su servicio de asesoramiento para la falla, la cual alcanzó su máximo nivel justo antes de navidad y se deriva de la forma en que el IE maneja las hojas de estilo (CSS).

La vulnerabilidad CSS afectó a todas las versiones de IE y podría permitir a un hacker iniciar la ejecución remota de código.

"Esta vulnerabilidad requiere que un atacante proporcione una hoja de estilos CSS que incluye una referencia a sí mismo con un símbolo @ import", explicó Kevin Brown, un miembro del equipo de ingeniería de seguridad del Centro de Respuesta de Microsoft, en un blog.

"Cuando Internet Explorer intenta cargar esta hoja de estilos recursiva, corrompe la memoria, de manera que podría ser explotada para ejecutar código arbitrario".

Microsoft ha incluido una solución en su asesoramiento para ayudar a los usuarios a proteger los sistemas, en tanto que el gigante de la tecnología trabaja en una actualización.

Para que la solución funcione correctamente, Microsoft dijo que los usuarios tendrían que aplicar las últimas actualizaciones de seguridad, incluyendo MS10-090, que fue lanzado el 14 de diciembre de 2010.

"Esta solución es un paquete MSI (Microsoftv"FixIt") que utiliza la aplicación de herramientas de compatibilidad de Windows para hacer un pequeño cambio en MSHTML.DLL cada vez que se carga a través de Internet Explorer", explicó Brown.

"Este cambio hace que Internet Explorer rechace la importación de una hoja de estilos CSS, si tiene la misma URL que la hoja de estilos CSS de la que se está cargando. En pocas palabras, las inserciones de una solución de verificación es para ver si una hoja de estilo está a punto de ser cargada de forma recursiva, y si es así, se anula la carga de la hoja de estilos".

La solución fue emitida el mismo día del primer martes de actualizaciones del 2010, En el que otra vulnerabilidad de día cero afectó a Windows Graphics Rendering Engine.