Buenas,
Un amigo me ha pasado un enlace relacionado con Internet Explorer que promete traer cola en los próximos días.
El código de este zero-day se publicó el pasado viernes en Bugtraq. Symantec ha realizado un pequeño análisis y ha confirmado la validez del mismo, recordándonos a todos que una vez que el exploit ha sido liberado es sólo cuestión de tiempo que se refine y empiece a ser usado de una manera intensiva por parte de los amigos de lo ajeno. No es descartable que la vulnerabilidad se haya estado utilizando antes de que haya visto la luz de una manera más privada, ya que es el típico caso que en los mercados se cotiza muy al alza, y por el que muchos desembolsan cantidades importantes de dinero para explotar alegremente el problema pasando totalmente inadvertidos.
Según la información publicada, que tampoco es que sea precisamente abundante, el exploit afecta a las versiones 6 y 7 de Internet Explorer con JavaScript activado. Pese a ser versiones obsoletas del navegador, se estima que en torno al 40% de la cuota de mercado en cuanto a navegadores corresponde a las versiones citadas, con lo que existe mercado más que suficiente para que los ataques se repitan sistemáticamente. De todos es conocido también que gestionar y mantener el nivel de parche no es precisamente una virtud del público en general, con lo que este factor incrementará la rentabilidad y longevidad del problema.
Mediante este ataque los atacantes sólo tienen que insertar el exploit en páginas Web bajo su control y forzar al usuario a que visite los enlaces (algo secillo de conseguir), lo que permitiría infectar a los usuarios con el mero hecho de visitar los contenidos. Parece claro que esto será utilizado para contaminar los equipos con malware financiero, y en el mejor de los casos, por llamarlo de alguna manera, para integrar máquinas en botnets.
El problema parece residir en la manera en la que Interrnet Explorer procesa la información de las hojas de estilo CSS (Cascading Style Sheets). Hasta que el fabricante solucione el problema, lo cual debería suceder relativamente pronto y probablemente, dada la extrema gravedad del problema, fuera del ciclo mensual de actualizaciones, se recomienda a los usuarios de Internet Explorer que desactiven JavaScript y que no visiten sitios Web que no sean de la más estricta confianza. Habida cuenta que las casas trabajan ya en la elaboración de firmas específicas para este problema, es extremadamente importante mantener actualizados los antivirus.
Un saludo,
Update:
Es importante reseñar que el código publicado el pasado viernes no es fiable, pero el sentido común invita a anticiparse y no a esperar a que el exploit sea mejorado. No dejes para mañana lo que puedas hacer hoy :)
Es por esto que yo, desconociendo el nivel de refinado que puede haber alcanzado el código, recomiendo a los usuarios que extremen las precauciones desde ya.
Update 2: Aunque resulte más que obvio, no lo he comentado en el cuerpo de la noticia. Los usuarios que por las razones que sean (tozudez, legacy, ignorancia, deseo ferviente, gusto personal) usen Internet Explorer deberían plantearse seriamente reducir ese 40% actualizando a la versión más reciente.
http://www.microsoft.com/spain/windows/internet-explorer/
Un saludo,
¿Internet Explorer? ¿Qué eso eso?
Felipe,
Es el patrón de Ucrania. Su onomástica se celebra todos los segundos martes de cada mes :)
Casi la mitad de los lectores del blog usa IE, y eso que este es un sitio donde acuden muchos usuarios que hace años que no usan ese poducto. Suponen un 49,13% del tráfico total. De ese porcentaje, el 50,08% usa IE7, y el 30,73% usa IE6. Sólo el 19,11% usa IE8.
En lo que llevamos de año han pasado por aquí 1.478.613 usuarios, así que del orden de 726.442 lo han hecho con IE en alguno de sus «sabores».
Muchas veces me dicen «no será para tanto», cuando sale el típico debate de si realmente es tan grave el tema como lo pintan. Sirvan estos números para hacernos una idea. Si en un blog modesto circulan del orden de 1.7 millones de usuarios por año, no quiero ni pensar qué cantidad de usuarios están usando el producto ahí fuera.
Casi nada. Los amigos de lo ajeno, frotándose las manos. Ya te digo.
Creo que una pequeña parte de ese 19,11% de usuarios con IE6 es «culpa mia» cuando visito tu web desde el trabajo. En una empresa donde «por cojones», unos 1500 ordenadores utilizan IE6 por que si no el programa principal de la empresa no funciona correctamente, no todas las aplicaciones que hay en él.
¿¿Y ahora como hace un administrador de sistemas, para no volverse loco para mantener esto en pie cada día??.
Y pongo por cojones, entrecomillado por que estoy seguro que es porque el departamento de desarrollo no quieren arreglarlo. O la empresa no se da cuenta de lo peligroso que puede ser pasar de la seguridad informática hoy en día.
Hola Administrador Desesperado,
Parece que por lo que me cuentas, eres uno de esos muchos que sufre IE por que no le queda más remedio. Me apuesto una cena a que en tu caso, la dependencia de IE6 viene de algún ERP, y probablemente, causada por Oracle (reduzco la apuesta a unas tapas si es SAP) :)
Sea como fuere, yo no cargo contra quienes usan IE6. Hasta comprendo que en ciertos entornos no queda más remedio, y comprendo que otras veces la gente lo usa porque quiere, o porque no sabe que puede usar otras cosas. Soy tolerante, prefiero invertir mi esfuerzo en educar al usuario en vez de politizar con Explorer vs Firefox y compañía.
Fíjate si me importan los usuarios de IE que a día de hoy invierto una cantidad ingente de horas para que el tema del blog, que teóricamente es W3C compliant, no le provoque a nadie que use IE problemas para leerlo (que te aseguro que los provoca por cómo funcionan ciertos plugins y por cómo funciona IE). Para mí lo cómodo sería desarrollar sólo para Firefox y similares, pero quiero ofrecer los contenidos a usuarios de IE.
No me escondo cuando te digo que esto, además de por una cuestión igualitaria y de formación, lo hago también por una cuestión económica: los usuarios de IE producen el 80% de los ingresos publicitarios del blog, y por tanto, lo menos que se merecen es cuidarlos.
¿Qué hacer en tu caso? Hasta que el que pone la pasta en lo alto de la mesa no comprenda lo que se juega, no hará nada. Prueba a elaborar un caso de negocio documentado con cifras, e intenta traducir a euros el riesgo. Es la única manera de ver si merece la pena actualizar/migrar o asumir el riesgo. Si usáis PRINCE2 o algún método de gestión de proyectos parecido habla con tus jefes de proyecto, y que te digan cómo realizar un business case decente para la ocasión.
No te queda otra. Paciencia, y suerte :)
Update: Microsoft Security Advisory (977981) Vulnerability in Internet Explorer Could Allow Remote Code Execution
http://www.microsoft.com/technet/security/advisory/977981.mspx
La única duda que queda por despejar es saber si ofrecerán un parche fuera de ciclo o no. Estando el próximo ciclo previsto para el 8 de diciembre, creo que no dará tiempo a elaborar el parche y probarlo para las tropecientas configuraciones de IE. No obstante, aunque en caso de apostar apuesto por la inclusión del parche en el próximo ciclo, dada la gravedad del tema no descarto un out-of-cycle :)
Usuarios de IE sin ganas de navegar con otras soluciones: Leeros el texto, y aplicad los workarounds. Os va la pasta en ello.
Saludos,
Muchas gracias por tu sugerencia, ojala pueda convencerlos algún día, por cierto ganarías la apuesta de la cena…;-)
Y muchas felicidades y gracias también por tu trabajo en esta web.