Descubren un nuevo “agujero” de seguridad “extremadamente crítico” en Internet Explorer
El problema se debe a un error que provoca la corrupción de la memoria utilizada por el programa, cuando éste procesa páginas HTML conteniendo llamadas a objetos “window()” en un evento “onload”. La vulnerabilidad fue reportada en mayo de 2005, y aún no ha sido solucionada por Microsoft, según informa VSantivirus.
El exploit ahora publicado, puede ser usado por un usuario remoto para tomar el control del equipo vulnerable, por el simple hecho de que la víctima visite una página maliciosa.
El problema ha sido comprobado en Internet Explorer 6 SP2 (Windows XP) con todos los parches al día.
Según lo publicado en mayo de 2005, la vulnerabilidad reportada solo podía provocar que el programa dejara de responder, pero no era posible la ejecución de código. El exploit demuestra que ello es posible.
NOTA: El término “Zero day” (o “0day”), se aplica en este caso a un exploit hecho público para una vulnerabilidad de la que aún no existe un parche.
Software vulnerable:
- Microsoft Internet Explorer 6 (Windows XP SP2)
- Microsoft Internet Explorer 6 SP1 (Windows XP SP1)
- Microsoft Internet Explorer 6 SP1 (Windows 2000 SP4)
- Microsoft Internet Explorer 5.01 SP4 (Windows 2000 SP4)
Otras versiones podrían ser vulnerables.
Solución:
No hay solución oficial al momento de la publicación de esta alerta.
Más información:
Microsoft Internet Explorer “window()” Code Execution Vulnerability
Aquí
