23

Internet Explorer · Microsoft · Seguridad

Detectada vulnerabilidad “día 0” en Internet Explorer 6 y 7

Microsoft ha notificado un fallo de seguridad en su navegador Internet Explorer, concretamente en las versiones 6, 7 y parcialmente en la 8. La vulnerabilidad permitiría a un atacante hacerse con el control del equipo de la víctima a través de enlaces maliciosos que apuntan a páginas que explotan el agujero de seguridad.

La versión 9, de momento en fase beta, es inmune al ataque. Microsoft no considera que la vulnerabilidad sea tan grave como para desarrollar un parche de emergencia. En cualquier caso el alcance de los ataques ha sido limitado y principalmente se han dirigido a Internet Explorer 6. Por ello la compañía ha estimado que no es necesario un parche de emergencia. Sin embargo la compañía ha publicado un parche a través de Fix It para proteger  aquellos sistemas operativos y navegadores afectados.

Para la versión 7, se debe habilitar la protección DEP (Data Execution Prevention) mientras que la versión 8 esta medida de seguridad está activada por defecto. Es decir, la vulnerabilidad en este caso es teórica solamente para los casos en los que el usuario desactivara DEP. Más información en la página oficial del reporte de seguridad a la que es posible acceder desde aquí. En una entrada del blog de Microsoft Security Response Center se aclara que el “exploit” ha sido detectado solamente en una página web que ya ha sido bloqueada. También se aclara que se está haciendo seguimiento de la amenaza para dar respuesta inmediata en caso de que el estado de la vulnerabilidad empeorara.

*Nota*

Como algunos habrán notado hemos editado la noticia para dar la última información sobre la vulnerabilidad para que tuvierais los datos más actualizados y rigurosos posible.

  • CienciasMagicas

    Y cuando no, por eso lo mejor es no usarlo mucho. Por mucho es mejor Chrome y Firefox.

    • Firefox_Rules

      Estoy de acuerdo, casi cualquier otro navegador tiene menos problemas que el triste Explorer.

      Otra raya más al tigre con Explorer HAHAHA!
      Explorer tiene mas agujeros que un Queso, esto de los constantes problemas de seguridad ya se convirtió en una Broma de Mal Gusto, pobres “exploradores” parece que están extraviados LOL!

      Les recomiendo instalar: Firefox, Opera y Chrome.

      Reparar Explorer parece una Mision Imposible 🙂

      • Jejeje, la mejor frase fue: “casi cualquier otro navegador tiene menos problemas que el triste Explorer.”

        Una frase estupenda, digo yo.

      • Iñigo

        Están hablando de la versiión 6 y 7 no de las más nuevas asique no se a que viene lo de “Reparar Explorer parece una Mision Imposible”

      • div

        Para empezar, Microsoft había anunciado hace mucho q’ existían agujeros de funcionabilidad en antiguas versiones de IE, aconsejando siempre actualizar a la última versión. Lo q’ uds dicen no viene al caso ya q’ actualmente hay un porcentaje demasiado reducido q’ posea IE6 por ejemplo.

        Es lo mismo con Windows XP, puede tener muchos agujeros de seguridad pero la mitad de estos exploits no afectan las versiones de WinVista o Win7.

        Por cierto, les duela o no, IE9 tiene mejor rendimiento q’ Firefox 4 Beta 6, y el cambio de regreso a IE se está empezando a sentir nuevamente.

  • Camelot

    Leyendo el artículo de referencia sobre la protección que brinda DEP frente a este tipo de ataques:

    Data Execution Prevention (DEP) helps protect against attacks that result in code execution and is enabled by default in Internet Explorer 8 on the following Windows operating systems: Windows XP Service Pack 3, Windows Vista Service Pack 1, Windows Vista Service Pack 2, and Windows 7.
    La conclusión es simple: siempre es mejor tener el sistema operativo con todas las actualizaciones al día y el navegador con la versión más reciente.

    Y esto también se aplica a otros navegadores como Chrome y Firefox, este último es el que yo uso y cada actualización trae el parcheo de algunas vulnerabilidades y potenciales peligros. Así es la vida, ningún software es perfecto.

    • CienciasMagicas

      No ningún software es perfecto. Pero hay de malos a muy malos.

  • DEP esta activado por defecto en WIndows 7 para todas las aplicaciones de Windows (incluyendo IE8) se puede activar para las demas aplicaciones (como Reader) para mejorar la seguridad.

    Ademas, cualquier apliacion de 64 bits utiliza DEP automaticamente.

    • div

      Cierto, lo malo es q’ existe un gran porcentaje, sobretodo en piratería los cuales poseen versiones desatendidas de Windows (sobretodo de WinXP y Win7) y estas versiones les desactivan cosas como el DEP y el Windows Update.
      Luego se quejan q’ Windows tiene más agujeros de seguridad q’ un colador, pero hay q’ recordar q’ la última barrera de seguridad va a ser siempre el usuario final.

  • Juano

    Llevo usando IE 9 beta por 10 minutos, que asco mas grande. A descargar firefox de inmediato.

    • div

      IE9 tiene mejor rendimiento q’ Firefox 4 Beta 6, y además q’ renderiza más rápido los contenidos.
      El único pero q’ tiene IE9 actualmente es la incompatibilidad con algunas páginas, a causa del nuevo renderizador basado en directX y acelerado por GPU.

  • Camelot,demas amigos,creo usan IE 6 aun por que es el mas liviano,y no es que sea negativo IE 8,9 son un asco por pesados ,causan estres tremendo
    Microsoft deberia volver a desarrollo mas liviano y rapido ,asi es la internet ahora ,Google Chrome es un gran ejemplo

    Sino llegan el fin de Internet explorer

    • div

      Si lo piensas se siente más pesado usar IE6 q’ el IE9. Y es por los estandares y por el motor de renderizado.

      Parece q’ deberías echarle un ojo a la tabla de Benchmark, ya q’ IE9 Beta se situa cerca de Chrome en velocidad (Y sin decir q’ ya ha supera a Firefox 3.6 y 4.b6.

  • gFX

    Increíble como se llena esto de trolls y de retrasados mentales. Los únicos comentarios con ánimos de aportar y crear buen ambiente son los de ByteC y Camelot.

    Por cierto, sé como activar DEP para todos los programas, y se que viene por defecto para los servicios del sistema, pero ¿se puede desactivar? ¿cómo?

    Saludos

    • Camelot

      Si no es molestia, ¿podrías decirme por qué deseas deshabilitar DEP?, además, ¿deseas deshabilitarlo completamente o solo para algunas aplicaciones?

    • Camelot

      Una pregunta más, ¿de qué versión de Windows hablamos, XP, Vista o 7?

      • Tú recomendarías que se active DEP para todos los programas o sólo para los esenciales de Windows?

        • Camelot

          Pues yo prefiero mantenerlo tal cual, es decir, habilitado para todos los programas. He leído que a algunos usuarios les ocasionan problemas con algunos juegos y otros tantos proclaman que vuelve más lenta la PC e incluyen su desactivación como un truco para acelerar el rendimiento.

          Personalmente, yo nunca he tenido problemas de ese tipo así que prefiero mantener su protección, para casos como los mencionados en este artículo.

          Supongo que si se diera el caso, antes de desactivarlo, probaría usar la opción de incluir la aplicación problemática en la lista blanca que proporciona el servicio a través de Inicio> Panel de Control> Sistema> Configuración avanzada del sistema> Rendimiento> Prevención de ejecución de datos> Activar DEP para todos los programas y servicios excepto los que seleccione:….

          • Gracias por el dato a ti ya gFX, lo tenía habilitado sólo para los programas esenciales de Windows, pero como dice gFX, existe Adobe y no es que anden muy seguros sus productos últimamente. Además de Java que también ha tenido algunos proglemas de seguridad. Esperemos que ambas empresas los corrijan pronto.

          • div

            EL DEP viene activado por defecto desde WinXP, ya q’ Windows hace siempre uso de él siempre y cuando este activado desde la BIOS o siempre y cuando el procesador lo soporte.

            Lo q’ tu vienes a activar en configuración avanzada del sistema es la desactivación del DEP en algún programa o la activación en una especie de modo de suprevisión.

  • gFX

    Tengo Windows 7, tengo activado DEP para todos los programas, pero solo me dió curiosidad desactivarlo por “probar” nada más.

    No sé si alguna vez te haya pasado, que DEP cierre de golpe algún componente del sistema como explorer.exe, donde sería evidente que se está siendo afectado por algún tipo de malware o exploit, pero sí se pudiera desactivar el DEP en este caso, la máquina al menos sería usable. Bueno es un caso extraño pero se me ocurrió, nada más 🙂

    Yo sí recomiendo habilitar DEP para todos los programas, y eso porque existe Adobe. No viene así por defecto porque algunos programas poddrían no funcionar en DEP, aunque bueno, esos no los conozco, más que alguno que otro juego antiguo ha sido cerrado por DEP en esas circunstancias y siempre se pueden agregar a la lista de excepciones.

    • Camelot

      Bueno, en el escenario que planteas supongo que si deactivar provisionalmente el DEP ayuda a reparar el sistema de algun problema con malware valdría la pena hacerlo. Como escribí arriba lo ideal sería simplemente incluir la aplicación problemática en la lista blanca y solo si no funciona ir a por desactivarlo completamente, con los riesgos que eso implicaría.

      Sobre el problema con explorer.exe y su cierre intempestivo supongo que otra opción sería entrar en modo seguro, pero supongo que eso ya se vería en un caso concreto.

      • div

        Parcialmente, la medidas de seguridad de Windows están basadas en el DEP y en el ASLR. Pero obviamente no se limitan a eso solamente.

        Si desactivas el DEP solo dejarás más desprotegido tu equipo, pero como ya mencioné existen otros mecanismos para evitar la infección en memoria RAM o en memoría del kernel del procesador, como el ASLR la cuál no se puede desactivar por metodos normales.