Fuente: SearchSecurity.com

Microsoft publicó un nuevo aviso en la noche del miércoles advirtiendo a los usuarios de Internet Explorer (IE) sobre la posibilidad de fuga de datos como resultado de nuevas vulnerabilidades de día cero en IE que han sido divulgadas al público.

Las vulnerabilidades de IE podrían dar lugar a la revelación de información para usuarios de cualquier versión del navegador en Windows XP o usuarios que tienen desactivado el modo protegido de Internet Explorer. El gigante del software dijo que no tiene conocimiento de ataques que actualmente estén dirigidos a las vulnerabilidades.

Un atacante podría aprovechar el hueco mediante el establecimiento de un ataque “pasajero” en una página web. Microsoft dijo que también se puede servir código malicioso en algunos anuncios de la web.

Hasta que se publique un parche, un arreglo temporal de Microsoft (descarga directa) ha sido puesto a disposición de los usuarios de Windows XP. El mismo automatiza el Network Protocol Lockdown y puede ser desplegado por las empresas a través de sus sistemas automatizados, dijo Microsoft. Además, Microsoft también ha ofrecido una guía para administradores de sistemas que describe los pasos manuales para implementar la solución temporal de protocolo de red.

Microsoft dijo que los usuarios de Internet Explorer 7 u 8 en Windows Vista y Windows 7 no son vulnerables a la falla porque la configuración predeterminada coloca a los usuarios de IE en modo protegido.

El centro danés de intercambio de vulnerabilidad Secunia dio a la vulnerabilidad de día cero en IE una calificación de “moderadamente crítica”. Secunia dijo que un error se produce cuando el navegador maneja incorrectamente los re direccionamientos que eluden las restricciones de dominio. Esto resulta en la divulgación de algunos archivos locales. Se produce una segunda falla cuando el navegador maneja un “objeto creado de forma dinámica”, también revelando ciertos archivos.

“La explotación exitosa de la vulnerabilidad requiere que la ruta completa a un archivo objetivo sea conocida antes del ataque”, dijo Secunia en su aviso.

Parche emitido para los ataques corporativos dirigidos a los usuarios de IE 6

Microsoft publicó el mes pasado un parche de emergencia, fuera de ciclo de actualización, para hacer frente a ocho vulnerabilidades en Internet Explorer. La actualización fue el resultado de ataques continuos y de alto perfil dirigidos a los usuarios corporativos de IE 6 en Windows XP.

Los ataques se llevaron a cabo en contra de Google, Adobe Systems Inc. y más de 30 otras empresas. Microsoft dijo que todas las vulnerabilidades pueden llevar a la revelación de información o bien permitir a un atacante tomar el control completo de un sistema.