Ir al contenido principal

Microsoft publica actualización de urgencia para Internet Explorer (Septiembre 2013)

Fuera de su ciclo habitual de actualizaciones de los segundos martes de cada mes, Microsoft acaba de publicar un boletín de seguridad para informar de una grave vulnerabilidad que se está explotando de forma activa y afecta a su navegador Internet Explorer y que puede permitir la ejecución remota de código arbitrario. 
Aunque según Microsoft solo hay informes de que se esté explotando directamente sobre las versiones 8 y 9 del navegador, el problema afecta a todas las versiones de Internet Explorer, desde la 6 a la 11. Las únicas plataformas Windows libres del problema son los sistemas servidor, que incluyen IE en modo restringido por defecto. Si se ha desactivado el modo restringido también puede ser vulnerable.
El problema, con CVE-2013-3893, podría permitir la ejecución remota de código si un usuario accede a una web específicamente creada. La vulnerabilidad reside en el acceso por Internet Explorer a objetos en memoria que han sido eliminados o incorrectamente asignados por el motor de representación HTML (mshtml.dll) de IE. El exploit detectado por Microsoft está implementado totalmente en Javascript (no depende de Java, Flash, etc.) pero sí depende de una DLL de Office que no fue compilada con ASLR habilitado (Address Space Layout Randomization). El propósito de esta dll en el contexto del exploit es evitar ASLR mediante código ejecutable en una dirección en memoria conocida.
Microsoft ha publicado un parche temporal, como "Fix it" "CVE-2013-3893 MSHTML Shim Workaround" si bien esta solución solo sirve para versiones 32-bit del navegador.
Este parche no pretende ser un sustituto de la actualización de seguridad, que seguramente se publicará posteriormente a través de un boletín en el ciclo habitual de actualizaciones.
Para usuarios avanzados y administradores de sistemas también se recomienda el uso de EMET (Enhanced Mitigation Experience Toolkit o kit de herramientas de experiencia de mitigación mejorada) para mitigar la explotación de la vulnerabilidad mediante la inclusión de capas de protección adicionales. EMET 3.0 y EMET 4.0 tienen soporte oficial de Microsoft. EMET es un programa de Microsoft gratuito, (solo disponible en lenguaje ingles) sencillo de manejar y de gran utilidad. En el aviso de seguridad de Microsoft se explican detalladamente los pasos para su adecuada configuración.
http://technet.microsoft.com/en-us/security/advisory/2887505
Más información:
Microsoft Security Advisory (2887505)
Vulnerability in Internet Explorer Could Allow Remote Code Execution
CVE-2013-3893: Fix it workaround available
Microsoft Security Advisory: Vulnerability in Internet Explorer could allow remote code execution
http://support.microsoft.com/kb/2887505


Fuente:
http://unaaldia.hispasec.com/2013/09/microsoft-publica-actualizacion-de.html

Comentarios

Entradas populares de este blog

Un Tutorial de Aprendizaje Profundo: De Perceptrones a Redes Profundas

IA (iiiii AAA) no .. no son solo un par de vocales son las siglas de "Inteligencia Artificial" un campo de la informática que estudia la inteligenia exhibida por las máquinas y hoy hablaremos de esto. Te vamos a enseñar conceptos básicos de IA de una forma fáci. Comencemos, el dia de hoy tenemos este super interesante artículo que nos comparten desde Toptotal.com sobre el "Aprendizaje profundo de perceptrones a redes profundas" y si te suena a Chino no lo es :) Te invito a que leeas este articulo: En los últimos años, ha habido un resurgimiento en el campo de la Inteligencia Artificial. Se ha extendido más allá del mundo académico, con grandes figuras como  Google , Microsoft y  Facebook , quienes han creado sus propios equipos de investigación, obteniendo impresionantes  adquisiciones . Se comenta que esto puede atribuirse a la gran cantidad de datos brutos generados por los usuarios de redes sociales, muchos de los cuales deben ser analizados, al igual qu...

La H-1B: El viaje de un desarrollador iOS desde Honduras hasta Silicon Valley

Desde toptal.com nos cuentan ... La experiencia de un desarrollador Latinoamericano que llego hasta Silicon Valler desde Honduras, un interesante artículo que nos cuenta la travesía de llegar a trabajar en San Francisco, California. He aquí un fragmento del articulo: Por estos días, vivo en la gran ciudad de San Francisco. Obtuve un trabajo que amo, y uno con el cual soñé con tener durante mucho tiempo. Parece fácil ahora, pero no siempre fue así. Cómo empezó todo Nací en  San Pedro Sula , un pequeño pueblo en la esquina noroeste de Honduras. Comencé a programar cuando tenía 12 años. Todo empezó con BASIC. Un día, estaba jugando un vídeo juego y se colgó. Cuando ví la pantalla llena de códigos de error y mensajes, me picó la curiosidad—entonces comencé a aprender algunos comandos BASIC, que eventualmente me llevaron a comprar libros de programación sobre Clipper, Turbo Pascal, C, C++, etc. Fue genial. Tenía todo el tiempo del mundo para gastar programando cualq...

Por Qué Los Startups Necesitan Una Guía De Estilo

Incluso para un diseñador con experiencia, crear una nueva guía de estilo para un producto es difícil—hay muchas direcciones de diseño posible, y el proceso puede rápidamente convertirse en algo abrumador. La vida del  startup  es bastante agitada, rápida, y llena de clichés como “la perfección es la enemiga de tener algo hecho”, “muévete rápido y rompe cosas”, o “lancemos ahora, arreglemoslo después”. Crear una guía de estilo bajo dichos eslóganes y prioridades fluctuantes es desafiante, pero es necesario si queremos que el diseño de un producto tenga éxito a largo plazo. La  Experiencia Global de Lenguaje (GEL) de la BBC explica el propósito de cada componente y cómo deberían ser utilizados. En años recientes, hemos escuchado mucho sobre sistemas de diseño, guías de estilo, librerías de patrones, y  diseño atómico . Y si bien estas herramientas son muy útiles, usarlas puede sentirse como un exceso cuando lo único que quieres es crear un par de pantalla...