Microsoft ha confirmado una vulnerabilidad 0day que afecta al navegador Internet Explorer 6, 7 y 8 (las versiones 9 y 10 no se ven afectadas).
El problema, al que se la que se le ha asignado el CVE-2012-4792, reside en uso de un puntero después de liberar que permite la ejecución de código arbitrario con los privilegios que se encuentre el usuario. Esta vulnerabilidad puede permitir la elevación de privilegios y el compromiso de la totalidad del sistema.
Se han detectado ataques que explotan esta vulnerabilidad, como es el caso de la web http://www.cfr.org/comprometida esta semana , también se ha publicado un exploit en el framework Metasploit.
Hasta el momento, Microsoft no aporta solución aunque sí que es posible que lo haga en el próximo boletín, según el propio aviso:
«On completion of this investigation, Microsoft will take the appropriate action to protect our customers, which may include providing a solution through our monthly security update release process, or an out-of-cycle security update, depending on customer needs.«
Más información:
Microsoft Security Advisory (2794220)
CFR Watering Hole Attack Details
Fernando Castillo
Los ataques día-cero ocurren cuando una vulnerabilidad tiene una ventana de tiempo existente entre el tiempo en el que se publica una amenaza y el tiempo en el que se publican los parches que los solucionan. Normalmente estos parches son preparados por los propios responsables del programa «defectuoso» en cuestión (sobre todo con los programas de pago).
La línea de tiempo que se emplea para virus y troyanos (entre otros) es la siguiente:
Publicación del ataque o exploit al mundo
Detección y estudio del problema
Desarrollo de una solución al mismo
Publicación del parche (o firma del virus si procede), para evitar el exploit.
Distribución e instalación del parche en los sistemas de los usuarios y actualización de los antivirus.
Este proceso puede durar horas o incluso días. Todo el tiempo que dura este proceso es el que dura la ventana de vulnerabilidad