Microsoft ha publicado un aviso de seguridad para informar sobre una nueva vulnerabilidad descubierta recientemente en su navegador y que permite la ejecución remota de código arbitrario.
Las versiones vulnerables son Internet Explorer 6, 7 y 8, mientras que la beta de Internet Explorer 9 se libra de este problema. Según Microsoft en su aviso, en la actualidad la vulnerabilidad se está explotando de forma activa.
El problema existe cuando Internet Explorer procesa determinadas combinaciones de hojas de estilo y asigna la memoria de forma incorrecta. Concretamente en el módulo "mshtml.dll" al procesar el atributo "clip" con una posición determinada de las CSS. Esto permite a un atacante remoto la ejecución de código a través de una página específicamente manipulada.
Microsoft está desarrollando las actualizaciones necesarias para corregir este problema, mientras tanto se recomienda anular las hojas de estilo con una CSS definida por el usuario, asignar las zonas de seguridad del navegador a un nivel Alto, implementar el Enhanced Mitigation Experience Toolkit (EMET) o habilitar Data Execution Prevention (DEP) para Internet Explorer 7.
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4393
No hay comentarios:
Publicar un comentario