Fix para 0-Day de Internet Explorer

Microsoft ha lanzado el Security Advisory 2887505 sobre un vulnerabilidad 0-Day que afecta a Internet Explorer 8 y 9, aunque el problema podría afectar a todas las versiones compatible. Actualización: todas las versiones son vulnerables.

Este problema podría permitir la ejecución remota de código si un usuario ingresa a un sitio web con contenido malicioso dirigido específicamente a los navegadores mencionados.

El exploit detectado por Microsoft está implementado totalmente en Javascript (no depende de Java, Flash, etc.) pero sí depende de una DLL de Office que no fue compilada con ASLR habilitado (Address Space Layout Randomization). El propósito de esta DLL en el contexto del exploit es evitar ASLR mediante código ejecutable en una dirección en memoria conocida.

Debido a que se han reportado ataques In-the-Wild, Microsoft está trabajando para desarrollar una actualización y se recomienda instalar algunas de las siguientes soluciones provisionales de mitigación:

• Instalar Fix it "CVE-2013-3893 MSHTML Shim Workaround", que impide la explotación de la vulnerabilidad. Lamentablemente este Fix sólo está disponible para versiones de 32bits.
• Establecer a "Alto" los valores de los controles de "ActiveX y Active Scripting" en estas zonas de Internet e Intranet local.
• Configurar Internet Explorer para que pregunte antes de ejecutar controles ActiveX o deshabilitar la secuencias de comandos ActiveX en las zonas Internet e intranet local.
• Instalar la herramienta gratuita EMET 4.0 (Enhanced Mitigation Experience Toolkit) para mitigar la vulnerabilidad.

Cristian de la Redacción de Segu-Info

Suscríbete a nuestro Boletín