Avisos 17 de September, 2012

Vulnerabilitat 0-day a Microsoft Internet Explorer

 

En les últimes hores s'ha publicat en diversos blocs i xarxes socials una possible vulnerabilitat de dia zero (0-day) al programari Internet Explorer que es podria estar utilitzant activament per grups de criminals cibernètics. Aquesta informació no ha estat confirmada per Microsoft i les dades analitzades fins ara indiquen que es podria executar codi arbitrari de manera remota en sistemes Windows amb l'última versió del navegador i totes les actualitzacions instal·lades.

 

Impacte

Execució remota de codi.

Productes afectats

  • Microsoft Internet Explorer 7, 8 i possiblement 9 (sense confirmació)

NOTA: a falta de confirmació per part del fabricant, altres versions podrien estar afectades.

Solució

La vulnerabilitat actualment és de tipus dia zero (0-day), és a dir el fabricant no ha publicat cap pegat o actualització per solucionar-la.

A l'espera d'informació per part de Microsoft, la mesura de mitigació més fiable es utilitzar un altre navegador.

Detall

La vulnerabilitat ha estat descoberta mitjançant l'anàlisi de fitxers trobats, en un servidor utilitzat pel grup criminal conegut com a "Nitro", relacionats amb la recent vulnerabilitat al programari Java.

El vector d'explotació original és l'execució d'arxius tipus Adobe Flash (.SWF) que tindria com a objectiu només Internet Explorer 7,8 sobre Windows XP 32 bits.

Investigacions paral·leles indiquen que la vulnerabilitat podria ser molt similar a la vulnerabilitat solucionada anteriorment a Internet Explorer (CVE-2012-0171), que afectava el tractament d'objectes en memòria. El proveïdor Rapid7 està actualment desenvolupant un mòdul d'explotació per al programari Metasploit, que s'espera sigui publicat en breu.

No es tenen notícies de moment respecte una possible explotació a gran escala. Tanmateix, algunes informacions a la xarxa indiquen que les mostres analitzades descarregarien el troià Poison Ivy, després d'una explotació amb èxit.

Referències

Publicat a: Avisos