Ayer por la tarde se publicó una actualización de emergencia para Internet Explorer. Entre otras cosas, Microsoft corrige una vulnerabilidad conocida desde diciembre y que permite a un atacante remoto ejecutar código en máquinas vulnerables.
Con el boletín de seguridad no programado MS13-008, Microsoft corrige una vulnerabilidad en Internet Explorer (IE), que afecta a las versiones 6, 7 y 8 del navegador. En los sistemas operativos cliente Windows 7, Vista y XP, la actualización se considera crítica.
El parche es, en última instancia, una extensión retroactiva de la actualización de seguridad acumulativa de IE MS12-077. Los administradores, en particular, deben asegurarse de que este parche se ha instalado con antelación para evitar problemas de compatibilidad.
En el caso de los sistemas operativos de servidor Windows, sólo existe un riesgo moderado, según Microsoft. Los dos más recientes Internet Explorer 9 y 10 se salvan de la vulnerabilidad - sin embargo, una actualización de uno de estos navegadores de Microsoft sólo es posible a partir de Windows Vista.
Con el parche, Microsoft cambia la forma en que Internet Explorer maneja los objetos almacenados en la memoria. Esto se debe a que pueden producirse problemas de seguridad si un objeto no se asigna correctamente en la memoria o se elimina posteriormente.
Un atacante podría aprovecharse de esto creando un sitio web que acceda a los objetos correspondientes o a su zona de memoria. A continuación, tendría que conseguir que el usuario visitara el sitio web - por ejemplo, con la ayuda de un mensaje de spam.
Si el ataque tuviera éxito, entonces podría ejecutar código arbitrario en la máquina. Según Microsoft, cuanto mayores sean los derechos del usuario actualmente conectado, mayor será el peligro.
Cuanto más conectado esté el usuario, mayor será el peligro.