jueves, 18 de diciembre de 2008

Microsoft publica el esperado parche para la vulnerabilidad de Internet Explorer

Tal y como adelantamos ayer, Microsoft ha publicado la actualización para su navegador Internet Explorer. La instalación inmediata de este parche es imprescindible, ya que la vulnerabilidad es crítica y está siendo aprovechada de forma activa por atacantes.

El problema puede permitir al atacante la ejecución de código arbitrario, sin interacción del usuario con tan solo visitar una página web comprometida. La vulnerabilidad, que afecta a todas las versiones de Internet Explorer, reside en el manejo de etiquetas XML. Además se ha comprobado que el fallo lleva tiempo siendo activamente aprovechado por webs para instalar malware.

Según algunos medios el número de ordenadores infectados puede llegar a los dos millones, a través de más de 100.000 sitios web legítimos (aunque la mayoría de ellos chinos) comprometidos para aprovechar la vulnerabilidad e infectar automáticamente a los visitantes.

El fallo que se hizo público la semana pasada, justo el día antes de la publicación mensual de boletines, ha obligado a Microsoft a trabajar contrarreloj y en apenas nueve días ha publicado un boletín fuera de ciclo (el MS08-078) en el que anuncia la esperada actualización. Hay que tener en cuenta que en este tiempo se ha desarrollado, corregido, probado, evaluado y distribuido la actualización para todas las versiones de IE, en todas las plataformas e idiomas posibles (más de 300 versiones diferentes según Microsoft). Aunque todo esto no impide que en el futuro pueda detectarse algún problema con el parche, debido a las prisas con que se ha llevado a cabo todo el proceso.

La actualización está disponible a través de los medios habituales, desde Windows Update o a a través de los enlaces de descarga disponibles en el boletín MS08-078:
http://www.microsoft.com/spain/technet/security/bulletin/ms08-078.mspx
Los sistemas configurados para la instalación automática de las actualizaciones ya han debido actualizarse.


Antonio Ropero
antonior@hispasec.com


Más información:

Boletín de seguridad de Microsoft MS08-078 – Crítico
Actualización de seguridad para Internet Explorer (960714)
http://www.microsoft.com/spain/technet/security/bulletin/ms08-078.mspx

Rise of IE Zero-Day Through SQL Injection
https://forums.symantec.com/t5/Vulnerabilities-Exploits/Rise-of-IE-Zero-Day-Through-SQL-Injection/ba-p/372832#A182

No hay comentarios:

Publicar un comentario en la entrada