videoedicion.org (v8.3)
Varios => Sistemas operativos (general) => Mensaje iniciado por: hyrax en 18 de Septiembre de 2012, 15:32:52
Se ha descubierto un fallo de seguridad en el navegador de Microsoft, Internet Explorer, que podría permitir a un delincuente comprometer el ordenador de un usuario si éste visita una página web que contenga código malicioso.
Sistemas afectados:
Microsoft Internet Explorer 7, 8 y 9
Descripción:
Un fallo de seguridad en el navegador Internet Explorer podría ser utilizado por cibercriminales para comprometer ordenadores. Esto significa que un usuario que visualice una página web maliciosa con una versión vulnerable del navegador podría infectarse por un virus (o cualquier otro código malicioso) automáticamente.
A raiz de la información proporcionada (http://eromang.zataz.com/2012/09/16/zero-day-season-is-really-not-over-yet/) por el investigador de seguridad Eric Romang, se ha descubierto una vulnerabiliad 0-day que afecta a Internet Explorer, la cual podría estar explotándose actualmente.
Según se detalla en el blog vulnhunt (http://blog.vulnhunt.com/index.php/2012/09/17/ie-execcommand-fuction-use-after-free-vulnerability-0day_en/) se trata de una vulnerabilidad de tipo use-after-free en la función execCommand, y la misma podría aprovecharse para ejecutar código en las versiones 7, 8 y 9 de Internet Explorer.
Esta vulnerabilidad está siendo utilizada activamente, como indica el análisis realizado por AlienVault (http://labs.alienvault.com/labs/index.php/2012/new-internet-explorer-zero-day-being-exploited-in-the-wild/). Además, se ha publicado un módulo (https://community.rapid7.com/community/metasploit/blog/2012/09/17/lets-start-the-week-with-a-new-internet-explorer-0-day-in-metasploit) de Metasploit que aprovecha esta vulnerabilidad.
Por su parte, Microsoft acaba de publicar un boletín sobre la vulnerabilidad (http://technet.microsoft.com/en-us/security/advisory/2757760).
Solución:
De momento no existe una solución oficial, aunque Microsoft ha publicado un boletín (http://technet.microsoft.com/en-us/security/advisory/2757760) con algunas medidas de mitigación.
Hasta que no se libere una actualización que corrija este fallo, se recomienda utilizar otros navegadores.
Información en http://www.csirtcv.gva.es/es/alertas/fallo-de-seguridad-cr (http://www.csirtcv.gva.es/es/alertas/fallo-de-seguridad-cr)ítico-en-internet-explorer.html
En la prensa en http://www.elmundo.es/elmundo/2012/09/18/navegante/1347959170.html (http://www.elmundo.es/elmundo/2012/09/18/navegante/1347959170.html)
Notas:
Eric Romang Blog (http://eromang.zataz.com/2012/09/16/zero-day-season-is-really-not-over-yet/)
Vulnhunt blog (http://blog.vulnhunt.com/index.php/2012/09/17/ie-execcommand-fuction-use-after-free-vulnerability-0day_en/)
AlienVault: New Internet Explorer 0-day being exploited in the wild (http://labs.alienvault.com/labs/index.php/2012/new-internet-explorer-zero-day-being-exploited-in-the-wild/)
Metasploit module (https://community.rapid7.com/community/metasploit/blog/2012/09/17/lets-start-the-week-with-a-new-internet-explorer-0-day-in-metasploit)
Microsoft Security Advisory (2757760) (http://technet.microsoft.com/en-us/security/advisory/2757760)
Fuente: Inteco-CERT (http://cert.inteco.es)
Vaya tela con los fallos de seguridad! ???
Los usuarios de IExplorer tendrán que ir con mucho ojo... 8)
(https://videoedicion.org/foro/proxy.php?request=http%3A%2F%2F2.bp.blogspot.com%2F_JSR8IC77Ub4%2FS1599yqqNxI%2FAAAAAAAAALo%2F4vkHaLNZ1fE%2Fs400%2F2628059252_a5ef3afedc_o.jpg&hash=98387bcecc2bc1479838c1f90d5c479bb7adbd86)
Por eso vamos com Mozilla ;D
Pero claro, también utilizamos además del IE, el Chrome o el Safari.