• Tweet

Microsoft liberará su parche de emergencia para Internet Explorer (IE) el jueves, la compañía lo dijo hoy, al admitir que los ataques pueden ser escondidos dentro de documentos de Office.

“Estamos planeando liberar la actualización cerca de las 10:00 am PST de ser posible,” Jerry Bryant, un gerente de programa del grupo de IE, dijo en una entrada del blog del Centro de Respuesta de Seguridad de Microsoft (MSRC).

Ayer, Microsoft confirmó la especulación de que podría hacerse pública una actualización “fuera-de-base” para la vulnerabilidad de IE, pero pospuesta al especificar una fecha de envío, hasta hoy.

Microsoft también actualizó el boletín de seguridad que originalmente publicó la semana pasada cuando reconoció que una vulnerabilidad de día-cero para el IE fue usada por hackers para penetrar en las redes corporativas de Google y de otras importantes compañías del Occidente. Google ha argumentado que los ataques fueron lanzados por atacantes chinos. Subsecuentemente, expertos de seguridad ofrecieron evidencia que vincula los ataques con China.

El boletín revisado también remarca reclamos hechos por investigadores, acerca de que es posible explotar los nuevos navegadores IE7 e IE8, e incluso evadir las medidas defensivas recomendadas por Microsoft, DEP (Data Execution Prevention -Prevención de Ejecución de Datos-). Sin embargo, el boletín habla de cómo el DEP fue efectivo,pero sin confirmar o negar los argumentos de los investigadores.

“Existe un nuevo reporte acerca de un nuevo exploit, para el DEP (Data Execution Prevention)”, dijo Microsoft en el comunicado. “Hemos analizado el código perteneciente a la prueba-de-concepto del exploit y hemos encontrado que Windows Vista y versiones anteriores de Windows ofrecen protecciones más efectivas, bloqueando el exploit debido a la Capa Aleatoria del Espacio de Direcciones (Address Space Layout Randomization, ASLR ).”

Inclusive, en un post publicado por Jonathan Ness, un ingeniero de MSRC, en el blog de Investigación de la Seguridad y Defensa de la compañía, se negaba a explicar con detalle cómo el ataque de DEP era efectivo. Ness, sin embargo, reiteró que el punto de Microsoft en el cual, los únicos ataques vistos han sido sólo en contra del IE6.

Él,además, promocionó la seguridad adicional que ASLR y el modo protegido de IE proporcionan, y publicó una tabla que detalla la situación de los ataques actuales y las amenazas para los usuario de Windows e IE.

Microsoft también admitió que la vulnerabilidad puede ser explotada a través de documentos maliciosos de Office, un vector que no había sido revelado anteriormente. “Estamos también conscientes de que la vulnerabilidad puede ser explotada al incluir un control ActiveX en un archivo de Microsoft Access, Word, Excel o Power Point,” dijo Bryant. “Para prevenir la explotación, recomendamos que los usuarios desactiven los controles ActiveX en Microsoft Office ”.

La actualización de mañana para IE parchará todos los posibles vectores de ataque, agregó Bryant, incluyendo el de los documentos de Office.

La vulnerabilidad de IE ha ganado una atención considerable debido a que fueron conectados con los ataques que irrumpieron a la red corporativa de Google. McAfee fue el primero en revelar que los ataques en contra de Google fueron conducidos usando exploits de la vulnerabilidad de IE.

Desde entonces, los hackers han explotado el error, a través de ataques dirigidos desde sitios maliciosos y los investigadores han identificado nuevos códigos de ataque que funcionan para IE7 e IE8.

La última vez que Microsoft envió una actualización de seguridad de emergencia fue en julio de 2009, cuando parchó IE sólo horas antes de que diversos investigadores demostraron una vulnerabilidad crítica en una conferencia de seguridad. En octubre de 2008, Microsoft liberó rápidamente un parche para Windows; dicha vulnerabilidad fue después explotada por el bien conocido, gusano Conficker.