El Equipo de Respuesta ante Incidentes de Seguridad del Centro  Criptológico Nacional informa a toda su Comunidad de la existencia de un fallo grave de seguridad (0-day).

El pasado 09.03.2010 se hizo pública la existencia vulnerabilidad de tipo "use-after-free", que afecta al navegador Internet Explorer 6 y 7. La explotación de dicha vulnerabilidad podría permitir a un atacante remoto ejecutar código arbitrario, con los permisos del usuario, a través de un sitio web especialmente manipulado.

La vulnerabilidad, explotada en la actualidad de forma activa por los atacantes, está causada por un puntero inválido al que se podría acceder, bajo ciertas condiciones, tras liberar el objeto apuntado. Esta vulnerabilidad se encuentra en "iepeers.dll".

IE 5.01 SP4 y IE 8 no se encuentran afectados. Los modos de protección adicional de Windows Vista y versiones posteriores ayudan a mitigar el impacto del ataque.

La utilización de buenas prácticas de seguridad como aplicar los principios de mínimo privilegio necesario, utilizar técnicas y configuraciones seguras del navegador y habilitar DEP, puede ayudar a mitigar la explotación de la vulnerabilidad.

Aunque Microsoft continúa investigando los ataques y no existe solución o parche disponible, actualizó ayer día 10.03.2009 la información disponible con los siguientes workarounds para tratar de minimizar el impacto:

Modificar la lista de control de acceso (ACL) en "iepeers.dll".
Establecer los ajustes de seguridad de Internet y la Intranet a nivel Alto para bloquear controladores ActiveX y  Active Scripting.
Configurar Internet Explorer para que de aviso antes de lanzar Active Scripting o deshabilitar Active Scripting directamente.
Establecer DEP para las versiones 6 SP2 y 7 del Internet Explorer.
Desactivar  la clase peer en "iepeers.dll".

Más información:

https://www.ccn-cert.cni.es/index.php?option=com_idefense&task=view&id=578152%2C2&Itemid=123&lang=es

http://www.microsoft.com/technet/security/advisory/981374.mspx

Sean buenos

Saludos