Nueva vulnerabilidad grave en Internet Explorer

Menos de dos meses después de solucionar una grave vulnerabilidad en Internet Explorer, investigadores de la empresa de seguridad FireEye han informado de un nuevo agujero de seguridad en el navegador de Microsoft. Las versiones del navegador que se ven afectadas van de la 6 a la 11 y permitirían, como en anteriores vulnerabilidades, la ejecución remota de código.

La vulnerabilidad, del tipo use-after-free, se produce por un error cuando se intenta acceder a una porción de la memoria que ha sido eliminada o no ha sido asignada de forma correcta. Este error podría causar una corrupción de la memoria y se podría ejecutar código arbitrario en el navegador con los privilegios del usuario que estuviese utilizándolo en ese momento.

eset_nod32_internet_explorer_exploit

Como en muchas de las vulnerabilidades que afectan a navegadores, se podrían preparar páginas webs especialmente modificadas para explotar este agujero de seguridad y, seguidamente, engañar al usuario para que las visite. A pesar de que esta vulnerabilidad afecta a Internet Explorer, para que el ataque se produzca con éxito se deben tener instalados otros componentes de Flash, permitiendo así aprovechar técnicas conocidas para explotar Flash y conseguir un acceso arbitrario a la memoria y saltándose medidas de protección como ASLR o DEP.

Según ha informado Microsoft, esta vulnerabilidad está siendo explotada en ataques dirigidos, por lo que es importante aplicar medidas preventivas hasta que se lance un parche que solucione este agujero de seguridad. Este parche está previsto que se lance el próximo 13 de mayo, día designado para los boletines mensuales de seguridad de Microsoft. No obstante, es importante recordar que XP ya no recibirá estas actualizaciones de seguridad, por lo que sus usuarios estarán especialmente expuestos a ataques que se aprovechen de esta vulnerabilidad.

Como medidas preventivas, Microsoft recomienda navegar utilizando Internet Explorer con un usuario con permisos restringidos, configurar Internet Explorer de forma segura o utilizar el Kit de herramientas de experiencia de mitigación mejorada (EMET por sus siglas en inglés) para añadir capas de protección adicionales que hagan más difícil explotar esta vulnerabilidad.

Por si aún quedaban dudas, a día de hoy resulta vital configurar adecuadamente tanto las aplicaciones que utilizamos de forma cotidiana como los permisos con los que las usamos. Especialmente críticos son los entornos corporativos y es que un solo sistema mal configurado puede convertirse en puerta de entrada para un atacante y causar un importante daño a nuestra empresa.

Josep Albors

Enlaces relacionados:

Microsoft Soluciona 0-day en Internet Explorer mientras Adobe parchea Flash Player

Microsoft corrige grave vulnerabilidad en Internet Explorer en sus actualizaciones mensuales

Adobe parchea una vulnerabilidad 0-day en Flash Player