Vulnerabilidad crítica 0-day IE

Los de Redmond acaban de confirmar una vulnerabilidad 0-day que afecta a todas las versiones finales de Internet Explorer hasta la fecha, es decir, IE6, IE7 e IE8. Microsoft ha explicado que el problema de seguridad está relacionado con la creación de memoria sin inicializar durante una función CSS dentro del navegador. Debido a ello una página web creada a tal efecto podría llegar a otorgar permisos de ejecución remota a un atacante. Es decir, el control del ordenador víctima de manera remota.

Según Microsoft: "Es posible que bajo ciertas condiciones de memoria sean aprovechadas por un atacante para utilizar una web creada a medida para conseguir privilegios de ejecución remota".

Ello deja claro que exploits existosos son posibles y un atacante podría tomar el control del ordenador víctima de manera remota. Microsoft ha negado que ya haya ocurrido todavía, aunque la Proof of Concept ya está disponible en Internet e incluso ha sido añadido a Metasploit. Este agujero de seguridad afecta a IE6, IE7 e IE8 y es capaz de saltarse las medidas de seguridad ASLR (Address Space Layout Randomization) y DEP (Data Execution Prevention).

Desde MuySeguridad.net nos informan cómo paliar esta vulnerabilidad de manera temporal mientras que Microsoft prepara un parche, que podría estar listo en la primera tanda de actualizaciones de 2011, el segundo martes de enero.