INTECO - Seguridad, INTECO-CERT, Actualidad, Avisos de seguridad técnicos

Buscador avanzado

NUEVO USUARIO USUARIO REGISTRADO

INTECO-CERT
- Acerca de
- Actualidad
  - Virus
  - Vulnerabilidades
  - Avisos de seguridad técnicos
  - Avisos de seguridad no técnicos
  - Calendario Eventos
  - Suscripciones
- Formación
- Protección
- Respuesta y Soporte
C. Demostrador
Observatorio
DNI Electrónico

Destacados

Detalle de aviso de seguridad para usuarios técnicos

Microsoft publica un aviso de seguridad acerca de una vulnerabilidad en Internet Explorer

Fecha de publicación: 15/01/2010

Recursos afectados

Según Microsoft, el único software no afectado por la vulnerabilidad es:

Internet Explorer 5.01 Service Pack 4 Sobre Windows 2000 Service Pack 4.

Descripción

Microsoft ha publicado un aviso de seguridad acerca de una vulnerabilidad en Internet Explorer que afecta a todos sus sistemas operativos y versiones de Internet Explorer excepto a una bastante antigua.

Impacto

En un ataque especialmente diseñado, al intentar acceder a un objeto liberado, Internet Explorer puede permitir la ejecución remota de código.

Solución

De momento no hay disponible una actualización de seguridad que solucione esta vulnerabilidad, pero Microsoft ha publicado como mitigar los efectos del ataque:

Configurar las zonas de seguridad Internet e Intranet como "alta", para que nos pregunten antes de ejecutar controles ActiveX y Active Scripting.
Configurar Internet Explorer para que pregunte antes de ejecutar o bién desactivar la ejecución de Active Scripting .
Activar Data Execution Protection (DEP) sobre Internet explorer Service Pack 2 o Internet Explorer 7.

Otra forma de evitar esta vulnerabilidad es, hasta que se publique la actualización de seguridad y en la medida de lo posible utilizar un navegador que no tenga esa vulnerabilidad.

ACTUALIZACIÓN 19/01/2010

Actualmente los exploits no funcionan sobre Internet Explorer 8 con el modo DEP Activado y el Modo Protegido. Excepto en Windows 2000, en los demás sistemas operativos se puede actualizar a ese navegador.

ACTUALIZACIÓN 21/01/2010

Desde VUPEN, se nos indica que la protección DEP en el Internet Explorer 8 puede ser evitada, de hecho ellos lo han conseguido, no obstante no han publicado el exploit. Aseguran que la única forma de estar a salvo de esta vulnerabilidad es desactivar el JavaScript en Internet Explorer, no obstante, esto limitará la funcionalidad de muchas páginas Web.

Detalle

Se ha publicado el Microsoft Security Advisory 979352. En el se indica que están investigando una vulnerabilidad explotada públicamente, la CVE-2010-0249.

La vulnerabilidad consiste en una referencia a puntero no válido en Internet Explorer. Bajo ciertas circunstancias es posible acceder a ese puntero inválido después de que el objeto sea eliminado.

De momento se han detectado algún ataques sobre Internet Explorer 6, no sobre otras versiones. Se seguirán monitorizando estos ataques e investigando la solución definitiva que se publicará en la actualización mensual o en una fuera de ciclo.

Actualización 20/01/2010: Microsoft confirma que están trabajando para publicar una actualización de seguridad fuera de ciclo para solucionar esta vulenrabilidad.