martes, 15 de enero de 2013

Microsoft publica boletín fuera de ciclo para el último 0-day de Internet Explorer


Microsoft ha publicado una actualización para solucionar la grave vulnerabilidad dada a conocer el pasado 28 de diciembre, y confirmada por Microsoft el mismo día. Desde entonces permanecía sin parche y siendo explotada.

La vulnerabilidad permite la ejecución remota de código arbitrario a través de la visita a un sitio web especialmente diseñado. Para ello, aprovecha un fallo en la forma en la que Internet Explorer accede a un objeto en memoria que haya sido eliminado o incorrectamente asignado.

Afecta a las versiones 6, 7 y 8 de Internet Explorer en sistemas Windows de escritorio (XP, Vista y 7) y server (2003 y 2008). En el primer caso, el fallo ha sido calificado por Microsoft como crítico, mientras que en los sistemas de servidor lo es como moderado por el uso de Enhanced Security Configuration por defecto en estos sistemas (Internet Explorer, por defecto, se encuentra muy limitado en servidores). En cualquier caso, también permite la ejecución de código en ellos. Los sistemas con versiones 9 y 10 del navegador no son vulnerables.

El boletín MS13-008 llega poco más de dos semanas después de que el 0-day se hiciera público, y apenas una semana después del segundo martes del mes, día en el que Microsoft publica sus actualizaciones. Ya existía una contramedida, distribuida a través de un "Fix it" publicado el 31 de diciembre.

En poco menos de seis meses, Microsoft ha publicado dos parches fuera de su ciclo habitual para solucionar sendas vulnerabilidades 0-day en su navegador. La última vez fue el pasado 21 de septiembre, cuando se solucionaban con un boletín cinco vulnerabilidades. Entre ellas la CVE-2012-4969, también un fallo de ejecución de código remoto que estaba siendo explotado activamente.

Más información:

Microsoft Security Bulletin MS13-008 - Critical
http://technet.microsoft.com/en-us/security/bulletin/ms13-008

Ejecución de código arbitrario en Microsoft Internet Explorer 6, 7 y 8
http://unaaldia.hispasec.com/2012/12/ejecucion-de-codigo-arbitrario-en.html

Microsoft publica actualización fuera de ciclo para la vulnerabilidad de Internet Explorer
http://unaaldia.hispasec.com/2012/09/microsoft-publica-actualizacion-fuera.html



Francisco López
flopez@hispasec.com

Etiquetas: , ,

1 comentario:

  1. cadenalco17 de enero de 2013, 15:30

    el tema de las vulnerabilidades sera afán de sacar nuevas versiones sin un análisis de fondo o algo premeditado?. Si; no hay nada infalible tecnológicamente, pero como sera cuando se difunda de manera natural Conectividad a los demás dispositivos Caseros. Porque los hackers las descubren primero. Como se ve que quieren figurar y reconocimiento pues aumentemos la cobertura de la propuesta de Google-Chrome paguemos MUY bien estos Magos para aumentar la Seguridad y el crecimiento de la Tecnología.

    ResponderEliminar

Suscribirse a: Enviar comentarios (Atom)
Hispasec Sistemas | Copyright ©1998-2017