Nueva vulnerabilidad de IE antes de terminar el año

A pocos días de terminar este 2010, se ha descubierto un fallo general que afecta a Internet Explorer, desde la versión 6 hasta la 8, y prácticamente en cualquier versión de Windows. Este fallo de seguridad tiene que ver con la creación de memoria sin inicializar durante una función CSS, lo que le permitiría en ciertas condiciones ejecutar código remoto inyectado por un atacante.

ie-hack.jpg

En caso de un ataque exitoso el sistema quedaría vulnerable pues el atacante podría ganar los mismos permisos que un usuario local, por lo que fácilmente podría desactivar los controles de seguridad en el equipo sin que los usuarios lo notaran. Esta situación delicada se puede evitar si no se abren sitios web sospechosos o que parezcan poco confiables.

Para que este ataque entre en acción es necesario que el usuario visite un sitio web específico, desde el cual IE será vulnerado. Como no existe forma de que se le obligue a un usuario a acceder a una URL, seguramente se usarán tácticas de ingeniería inversa para lograr que las potenciales víctimas entren al sitio web que en realidad es una trampa, así que hay que tener cuidado.

De momento no existe un parche / actualización de seguridad por parte de Microsoft, pero debido a la naturaleza de este fallo de Internet Explorer, es cuestión de horas antes de que exista una descarga que permita a los usuarios de Windows estar protegidos ante este fallo del navegador.

Vía | gHacks
Más información | TechNet

Ir arriba