Investigadores Chinos libera código de exploit para IE7 sin querer. Descuidados.
Investigadores chinos de seguridad admitieron que liberaron sin querer código que podría ser utilizado para explotar una vulnerabilidad no solucionada aun de Internet Explorer 7.
Los scripts para llevar a cabo el truco ya estaban en venta en foros del mercado negro antes de esta fuga sin querer. Aún así, cualquier cosa que incremente la posibilidad de que los delincuentes digitales le pongan las manos encima al exploit, es poco grato.
La división de seguridad de VeriSign, iDefense, informa que el código de ataque está puesto a la venta a precios de hasta u$s 15.000 en los foros del bajo mundo. Probablemente bajaran a continuación de la fuga del código de los laboratorios de KnownSec.
La firma de herramientas eEye estima que la falla ha sido el blanco de explotación desde el 15 de noviembre.
Según iDefense, KnownSec hico accesible el código después de fallar en darse cuenta que el último boletín de Microsoft el martes no reparaba la vulnerabilidad que había debido a esta falla, la cual es sobre como el IE7 maneja las etiquetas XML malformadas. Una explicación de lo que pasó con KnownSec (en idioma chino mandarín) se puede leer aqui.
La falla afecta a los usuarios de XP y Vista, y crea un medio para cargar troyanos u otras formas de malware incluso en equipos Windows completamente emparchados, sencillamente induciendo a los usuarios a visitar sitios construidos maliciosamente. Hasta ahora este método de ataque se ha restringido a enviar ladrones de claves de juegos, según informa el Internet Storm Centre.
Microsoft está investigando los informes de ataques y considerando sus opciones. La oportunidad del ataque en la proximidad del período de fiestas y justo después del lote de ocho boletines sugiere que un parche fuera de calendario debería salir antes del próximo martes de parches, el 13 de enero. ®
Traducido para blog de Segu-info por Raúl Batista
Autor: John Leyden
Fuente: http://www.theregister.co.uk/2008/12/11/ie7_exploit_leak/
Los scripts para llevar a cabo el truco ya estaban en venta en foros del mercado negro antes de esta fuga sin querer. Aún así, cualquier cosa que incremente la posibilidad de que los delincuentes digitales le pongan las manos encima al exploit, es poco grato.
La división de seguridad de VeriSign, iDefense, informa que el código de ataque está puesto a la venta a precios de hasta u$s 15.000 en los foros del bajo mundo. Probablemente bajaran a continuación de la fuga del código de los laboratorios de KnownSec.
La firma de herramientas eEye estima que la falla ha sido el blanco de explotación desde el 15 de noviembre.
Según iDefense, KnownSec hico accesible el código después de fallar en darse cuenta que el último boletín de Microsoft el martes no reparaba la vulnerabilidad que había debido a esta falla, la cual es sobre como el IE7 maneja las etiquetas XML malformadas. Una explicación de lo que pasó con KnownSec (en idioma chino mandarín) se puede leer aqui.
La falla afecta a los usuarios de XP y Vista, y crea un medio para cargar troyanos u otras formas de malware incluso en equipos Windows completamente emparchados, sencillamente induciendo a los usuarios a visitar sitios construidos maliciosamente. Hasta ahora este método de ataque se ha restringido a enviar ladrones de claves de juegos, según informa el Internet Storm Centre.
Microsoft está investigando los informes de ataques y considerando sus opciones. La oportunidad del ataque en la proximidad del período de fiestas y justo después del lote de ocho boletines sugiere que un parche fuera de calendario debería salir antes del próximo martes de parches, el 13 de enero. ®
Traducido para blog de Segu-info por Raúl Batista
Autor: John Leyden
Fuente: http://www.theregister.co.uk/2008/12/11/ie7_exploit_leak/
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!