La compañía Microsoft publica boletín de seguridad fuera de ciclo para solucionar el último 0-day del software Internet Explorer.

Microsoft ha publicado una actualización para solucionar la grave vulnerabilidad dada a conocer el pasado 28 de diciembre, y confirmada por Microsoft el mismo día. Desde entonces permanecía sin parche y siendo explotada.

La vulnerabilidad permite la ejecución remota de código arbitrario a través de la visita a un sitio web especialmente diseñado. Para ello, aprovecha un fallo en la forma en la que Internet Explorer accede a un objeto en memoria que haya sido eliminado o incorrectamente asignado.

Afecta a las versiones 6, 7 y 8 de Internet Explorer en sistemas Windows de escritorio (XP, Vista y 7) y server (2003 y 2008). En el primer caso, el fallo ha sido calificado por Microsoft como crítico, mientras que en los sistemas de servidor lo es como moderado por el uso de Enhanced Security Configuration por defecto en estos sistemas (Internet Explorer, por defecto, se encuentra muy limitado en servidores). En cualquier caso, también permite la ejecución de código en ellos. Los sistemas con versiones 9 y 10 del navegador no son vulnerables.

El boletín MS13-008 llega poco más de dos semanas después de que el 0-day se hiciera público, y apenas una semana después del segundo martes del mes, día en el que Microsoft publica sus actualizaciones. Ya existía una contramedida, distribuida a través de un "Fix it" publicado el 31 de diciembre.

En poco menos de seis meses, Microsoft ha publicado dos parches fuera de su ciclo habitual para solucionar sendas vulnerabilidades 0-day en su navegador. La última vez fue el pasado 21 de septiembre, cuando se solucionaban con un boletín cinco vulnerabilidades. Entre ellas la CVE-2012-4969, también un fallo de ejecución de código remoto que estaba siendo explotado activamente.

Opina sobre esta noticia:
http://unaaldia.hispasec.com/2013/01/microsoft-publica-boletin-fuera-de.html#comments

Más información:

Microsoft Security Bulletin MS13-008 – Critical
http://technet.microsoft.com/en-us/security/bulletin/ms13-008

Ejecución de código arbitrario en Microsoft Internet Explorer 6, 7 y 8
http://unaaldia.hispasec.com/2012/12/ejecucion-de-codigo-arbitrario-en.html

Microsoft publica actualización fuera de ciclo para la vulnerabilidad de Internet Explorer
http://unaaldia.hispasec.com/2012/09/microsoft-publica-actualizacion-fuera.html

Fuente:
Francisco López
flopez@hispasec.com
Laboratorio Hispasec
www.hispasec.com

Imagen:
Fotos Digitales Gratis
www.fotosdigitalesgratis.com
 
Logos/Imágenes MR Respectivas Compañías mencionadas en la noticia.
Portal de Seguridad Informática, Tecnología e Internet
Descargas Antivirus/Antimalware
www.antivirusgratis.com.ar