Microsoft obligada a parchear una vulnerabilidad calificada como crítica que afectaba a versiones sin soporte de Internet Explorer

Microsoft obligada a parchear una vulnerabilidad calificada como crítica que afectaba a versiones sin soporte de Internet Explorer
Sin comentarios Facebook Twitter Flipboard E-mail

Internet Explorer se resiste a desaparecer y eso que ya tenemos entre nosotros a la nueva versión de Edge basado en Chromium. **Un navegador mucho más acorde para la época en la que nos encontramosv y que sin embargo no ha logrado que muchos olviden al añejo IE.

Pero aunque sigue siendo una aplicación muy usada, tanto que Edge ofrece un modo de compatibilidad, Internet Explorer ya tiene un tiempo a sus espaldas y por lo tanto no es mimado por Microsoft, que ya centra sus esfuerzos en Edge. Y pese a los años que tiene, Microsoft se ha visto obligada a lanzar un parche para tapar la última vulnerabilidad que afecta a Internet Explorer. Una brecha de seguridad que se puede ejecutar por medio de código HTML o incluso de un documento o PDF.

Versiones sin soporte y parcheadas

Explorer

Lo mismo que Windows 7, Internet Explorer en sus versiones más antiguas ya no debería contar con soporte. Un cese en lo que a mantenimiento se refiere que queda en el olvido al verse Microsoft obligada a lanzar un nuevo parche que tape el bug provocado por el motor Javascript.

Una vulnerabilidad que puede permitir la ejecución remota de código por parte de un atacante que podría habilitar el uso de código arbitrario en el contexto del usuario actual y aprovechar los derecho de este para así tomar el control de un sistema infectado y eliminar datos, instalar programas o ver todos los archivos almacenados.

Existe una vulnerabilidad de ejecución remota de código en la forma en que el motor de secuencias de comandos maneja los objetos en la memoria en Internet Explorer. La vulnerabilidad podría dañar la memoria de tal manera que un atacante podría ejecutar código arbitrario en el contexto del usuario actual. Un atacante que aprovechara la vulnerabilidad con éxito podría obtener los mismos derechos de usuario que el usuario actual. Si el usuario actual ha iniciado sesión con derechos de usuario administrativos, un atacante que haya explotado con éxito la vulnerabilidad podría tomar el control de un sistema afectado. Un atacante podría instalar programas; ver, cambiar o eliminar datos; o crear nuevas cuentas con plenos derechos de usuario.

En un escenario de ataque basado en la web, un atacante podría alojar un sitio web especialmente diseñado que está diseñado para aprovechar la vulnerabilidad a través de Internet Explorer y luego convencer a un usuario para que vea el sitio web. Un atacante también podría incrustar un control ActiveX marcado como "seguro para la inicialización" en una aplicación o documento de Microsoft Office que aloja el motor de representación de IE. El atacante también podría aprovechar sitios web comprometidos y sitios web que aceptan o alojan contenido o anuncios proporcionados por el usuario. Estos sitios web podrían contener contenido especialmente diseñado que podría explotar la vulnerabilidad.

Ante tal panorama Microsoft no ha tenido más remedio que lanzar la actualización de seguridad con la numeración CVE-2020-0674, un parche destinado a corregir la vulnerabilidad al modificar la forma en que el motor de secuencias de comandos maneja los objetos en la memoria.

Es un parche habilitado para Windows 7, 8.1 y 10, pero también para Windows Server 2008, 2012 y 2019 y afecta a Internet Explorer en las versiones 9 y 11. Aquí puedes encontrar todos los parches y la información al respecto.

Vía | SCMagazine
Más información | Microsoft

Comentarios cerrados
Inicio