Microsoft ha sufrido durante la última semana uno de los peores escenarios conocidos para una vulnerabilidad: es crítica y ha sido descubierta mientras estaba siendo aprovechada por atacantes. Esto implica que todo usuario de Internet Explorer (donde reside el problema) ha estado más o menos expuesto a ejecución de código arbitrario. Finalmente emitirá hoy una actualización de emergencia para solucionar el fallo. Además Firefox, Safari y Opera, los otros navegadores más populares, han actualizado también en los últimos días para solucionar graves problemas de seguridad.
Los problemas de seguridad en todos los navegadores son una constante. Desde que se tomara consciencia general de la seguridad en remoto del sistema, (añadiendo cortafuegos) y se mejoraran los sistemas de correo (con clientes más seguro por defecto y filtros perimetrales), los asaltos se han desviado a los navegadores. Este es el vector de ataque por excelencia hoy en día para el malware: el usuario visita una página y se intenta explotar una vulnerabilidad del navegador para instalar algún código. Y no sólo al visitar webs de dudosa reputación: muchas páginas legítimas (gracias a problemas de seguridad de sus servidores) están ayudando inconscientemente a propagar malware que los atacantes previamente han incrustado en ellas.
El peor escenario es para Internet Explorer
Así las cosas, un problema de seguridad en un navegador, sea cual sea, supone un importante riesgo. Para Microsoft el asunto se ha complicado en las últimas semanas, por muchas razones. Un día antes del segundo martes del mes de diciembre un mensaje en un foro chino hacía pública una vulnerabilidad (en principio en Internet Explorer 7, luego se comprobó que afectaba a todas las versiones). No existía parche oficial disponible, no necesitaba interacción por parte del usuario y permitía ejecución de código arbitrario con los permisos del usuario usando el navegador. La vulnerabilidad reside en el manejo de etiquetas XML. Se observó que el fallo estaba siendo activamente aprovechado por webs desde hacía tiempo para instalar malware. Microsoft se apresuró a reconocer el fallo y publicar un buen número de métodos para mitigar el problema.
Internet Explorer es el navegador favorito de los atacantes por su cuota de mercado, lo que permite a los atacantes llegar a un mayor número de víctimas. Para complicar el tema, el exploit se hizo público rápidamente, junto con todos los detalles técnicos del fallo. El incidente tenía todos los ingredientes para convertirse en desastre. Finalmente Microsoft ha anunciado que una semana después, el día 17, publicará un parche para solucionar el fallo.
Semana de actualización para otros navegadores
Pero Internet Explorer no es el único navegador que necesita ser actualizado en estos días. Parece que todos se han puesto de acuerdo para lanzar nuevas versiones que corrigen fallos de seguridad. Firefox acaba de anunciar su versión 3.0.5 y 2.0.0.19 (parece que la última de esta rama). Esta nueva versión corrige hasta 11 vulnerabilidades, 3 de ellas críticas, que la Fundación Mozillla (como hace Microsoft) agrupa en 8 boletines de seguridad.
Opera, por su parte, acaba de publicar también su versión 9.63, que corrige siete problemas de seguridad (uno de ellos, leve, descubierto por Matthew de Hispasec Sistemas).
Mac OS, por su parte, acaba de publicar una de sus macro-actualizaciones, que soluciona 21 fallos de seguridad de su sistema operativo, varios de ellos en relación directa con su navegador Safari.
Existe una prueba de concepto pública para uno de los problemas de Firefox, aunque al menos para estos navegadores, no se tiene evidencia de que los fallos estén siendo aprovechados activamente. Esto no exime de una inmediata actualización.
ssantos@hispasec.com
Más información:
Microsoft Security Bulletin Advance Notification for December 2008
http://www.microsoft.com/technet/security/Bulletin/MS08-dec.mspx
Opera 9.63 for Windows Changelog
http://www.opera.com/docs/changelogs/windows/963/
Security Advisories for Firefox 3.0
http://www.mozilla.org/security/known-vulnerabilities/firefox30.html
About the security content of Security Update 2008-008 / Mac OS X v10.5.6
http://support.apple.com/kb/HT3338
Deja una respuesta