Skip to content

Alerta: Grave vulnerabilidad 0day en Microsoft Internet Explorer

Publicado por Sergio Hernando el 19 septiembre 2006

Otro 0day para Internet Explorer, y yo ya he perdido la cuenta en lo que va de año. La semana pasada se dió a conocer otra vulnerabilidad para el navegador, también a modo de 0day, que por cierto, sigue sin estar resuelta.

explorer bug

Se está explotando activamente un grave problema del navegador a la hora de gestionar etiquetas VML (Vector Markup Language). Este fallo procesando VML permitiría, en las circunstancias apropiadas, la ejecución de código arbitrario en la máquina del usuario afectado.

Al parecer, el fallo está presente en las versiones 5.0 y superiores, es decir, el grueso de las vigentes, y no hay, al menos de momento, ni parche oficial ni contramedidas para paliar el problema. Un atacante mal intencionado podría provocar que nuestro navegador recibiera etiquetas VML malformadas, lo que provocaría un desbordamiento de pila.

La explotación es sencilla, con lo que es de prever que afloren en las próximas horas y días. Hacer llegar etiquetas a un navegador es tan sencillo como montar una página Web maliciosa, e inducir al usuario a visitarla. No hay que hacer nada más. El resultado, como era de prever, es devastador, existiendo la posibilidad de ejecución de código arbitrario en la máquina del usuario. Esto, unido al carácter remoto del ataque, confiere un grado de criticidad máxima al problema.

Los que usáis Windows, echad un ojo a estas contramedidas prácticas que recopila De los Santos (Hello :P) Por desgracia, no pueden ayudaros con este problema en particular, pero sí son perfectamente aptas para ofreceros una visión general sobre seguridad básica en entornos Microsoft. De los Santos sabe perfectamente lo que yo opinaría sobre este asunto: la única contramedida efectiva para evitar estas marimorenas protagonizadas por Windows y sus productos es emplear otro sistema operativo. A día de hoy, y para quien pueda, es la medida más sensata. La plataforma más usada es siempre la plataforma escogida para ser el blanco de las redes de crimen organizado, abanderadas con el phishing vía troyanos como máximo exponente del crimen telemático. Y ese rol corresponde hoy en día a los entornos Windows.

En el caso concreto de Explorer, producto estrella en lo que a inseguridad e infiabilidad se refiere, a estas alturas parece ya más que obvio que lo mejor es no usarlo. Es un producto que no da ninguna garantía de seguridad, y emplearlo es igual de peligroso que hacer puenting con una cuerda de esparto. No hay razones para seguir empleando Internet Explorer hasta que no se genere un producto desde cero, con revisión total y absoluta del código, y con un ciclo especial de parcheado que acelere los despliegues de las actualizaciones.

Hora de pasaros a soluciones serias y con muchos menos riesgos para la integridad de vuestros sistemas, como por ejemplo Opera. Firefox, pese a ser un producto que no es ni mucho menos la panacea de la seguridad, ofrece muchas más garantías, y por tanto, es otra recomendación que os hago.

Pues nada, atentos a las noticias, que Microsoft debería sacar para esto un parche extraordinario, fuera del ciclo de actualizaciones. Y digo debería, no que vaya a sacarlo ;)

Be Sociable, Share!

Categoría/s → Alertas

4 comentarios
  1. 20 septiembre 2006

    ¿A qué esperas para cambiar de navegador?

  2. 20 septiembre 2006

    Con esas declaraciones vas a hacer que se le irrite el epigastrio a Chema :P

  3. 20 septiembre 2006
    Omega permalink

    Interesante, y con esto seguro se retraza aun mas el IE 7, sigo contento con FireFox, otro pretexto para retrasar Windows Vista.

    Saludos.

Trackbacks & Pingbacks

  1. Sergio Hernando » Parche no oficial y workaround para la vulnerabilidad VML de Internet Explorer

Escribir un comentario

Note: XHTML permitido. Tu email nunca será publicado.

Suscribirse a los comentarios via RSS