Alerta 0day: Grave problema en Microsoft XML Core Services

Apareció ayer, pero nunca está de más hacerse eco de este tipo de alertas, habida cuenta de su gran repercusión y su extrema gravedad. Microsoft ha publicado un boletín al hilo de este grave problema, en que se describe la naturaleza del problema. También ofrecen soluciones para los usuarios afectados.

En síntesis, el problema podría ser explotado para lograr el compromiso total de una máquina Microsoft Windows. Un error sin especificar en el Control ActiveX XMLHTTP 4.0 puede desencadenar la ejecución de código arbitrario si un usuario visita una página maliciosa empleando Internet Explorer.

Security Focus:

Client side zero-day exploits are very dangerous because they evade the defenses of fully patched systems, often without any warning. Users are cautioned against visiting unknown websites using Microsoft Windows and all versions of Internet Explorer – including IE 7, marketed by Microsoft as «a major step forward» in security over IE 6.

De hecho, hay ya exploits corriendo a lo ancho y largo de la red aprovechando el problema. Otra más a sumar en la cuenta, y semana negra para la seguridad Microsoft, ya que, tal y como comentamos el pasado día 2 de noviembre, sigue pendiente de parcheo el grave problema del que hablábamos el otro día, que afecta a Visual Studio 2005, también clasificable como 0day.

Vía: Security Focus

Saludos,