Hace tres días, publicamos a través de estas páginas, que un grupo de hackers encontró una vulnerabilidad que afectaba a las versiones del navegador Internet Explorer 6, 7 y 8. Tal ataque, utiliza el plugin web Flash Player para explotar la vulnerabilidad en la versión 8, afectando así mismo a las dos anteriores y no afecta a las versiones más recientes, es decir, a las versiones 9 y 10. Microsoft más tarde reconoció la vulnerabilidad, y ha ofrecido un parche temporal a través de Fix It hasta que libere una actualización y la tengamos disponible en Windows Update. Más detalles a continuación.
Después de confirmar la vulnerabilidad encontrada en su navegador, Microsoft, ha lanzado una solución rápida con un parche temporal a través de Fix It, disponible ya para todos los usuarios. El gigante ha publicado a través de su sitio de soporte una solución, ofreciendo información al respecto y dando como detalles más relevantes que este parche no pretende ser un sustituto de cualquier actualización, recomendando así mismo a todos los usuarios que instalen siempre las actualizaciones de seguridad más recientes, por lo que se puede dar por hecho que lanzará en breve una actualización en condiciones para mitigar el problema encontrado. Aunque de momento no se conoce una fecha concreta de tal actualización estable, probablemente la tengamos en el Update de Windows el próximo Martes de parches.
Los detalles más significativos los podemos encontrar en la base de conocimientos US-CERT, en ella nos comentan que Internet Explorer contiene una vulnerabilidad después del uso de la liberación en el objeto CDwnBindInfo, lo que puede permitir a un intruso remoto no autentificado ejecutar código arbitrario en un sistema vulnerable. Esta vulnerabilidad, se aprovecha actualmente en el medio natural del uso de Adobe Flash Player, pemitiendo al atacante ejecutar tal acción. En un principio, se recomendó utilizar el kit de herramientas de experiencia de mitigación mejorada (EMET), así como desactivar el control ActiveX de Flash en Internet Explorer y desactivar también Java. Como remedio principal se recomendó a los usuarios que utilicen las versiones 9 y 10 de Internet Explorer o un navegador alternativo o diferente a este, como Google Chrome.
Ahora, el gigante ha puesto a disposición de todos los usuarios una solución temporal que evita la ejecución de código sin afectar a la navegación por la web. Como detalle más relevante, indican que no es necesario reiniciar el sistema una vez aplicado. También aconsejan a todos los clientes que apliquen la corrección para proteger su sistema. Mientras tanto, el gigante está en este momento monitorizando la web para comprobar si el exploit empieza ser utilizado de una forma más amplia.
Para aplicar el parche temporal a través de Fix It, hasta que Microsoft haga pública una actualización a través de Windows Update (se cree que posiblemente sea el próximo Martes de parches) debemos acudir al siguiente enlace y seguir los pasos e instrucciones que nos muestran:
Instalar parche Fix It de Microsoft
Así mismo, desde SOFTzone recordamos que esto es una solución temporal al problema, y que también podemos actualizar a las versiones más recientes y no afectadas de Internet Explorer (9 y 10) o bien desactivar / desinstalar el plug-in de ActiveX de Flash y Java, también cambiar la configuración de seguridad por una más estricta o bien utilizar cualquier otro navegador como Google Chrome o Firefox por poner algunos ejemplos.