El nuevo día cero de Internet Explorer permanece sin parchear


Es posible que desee implementar una solución alternativa o dejar de usar el navegador por completo, al menos hasta que Microsoft emita una solución

Microsoft ha lanzado un aviso de seguridad alertando a los usuarios de una vulnerabilidad aún sin parchear en su navegador web Net Explorer (IE) que está siendo explotada en ataques dirigidos limitados.

El día cero, que se rastrea como CVE-2020-0674, es un problema de corrupción de memoria en el motor de secuencias de comandos del navegador. Su explotación podría permitir a los atacantes remotos ejecutar el código de su elección en el sistema comprometido.

El agujero de seguridad de ejecución remota de código (RCE) afecta a las versiones IE 9, 10 y 11 que se ejecutan en todas las versiones de escritorio y servidor de Home windows compatibles, así como a las versiones que ya no son compatibles Windows 7. La vulnerabilidad puede ser explotada por los atacantes que lo atraen a visitar un sitio world wide web malicioso a través del navegador, generalmente enviando un correo electrónico. En última instancia, podría permitir que los delincuentes instalen programas, manipulen datos o creen nuevas cuentas con derechos de usuario completos en el sistema afectado.

Déjà vu con un toque

Si la mayoría de esto suena familiar, es por una buena razón. Tan recientemente como septiembre y noviembre 2019, respectivamente, la compañía reveló otros dos días cero en el navegador.

Sin embargo, hay una diferencia importante. Esta vez no hay parches disponibles, por el momento, de todos modos. En cambio, parece que la solución no se implementará hasta el próximo parche del martes 11 de febrero.th.

“Microsoft es consciente de esta vulnerabilidad y está trabajando en una solución. Nuestra política estándar es lanzar actualizaciones de seguridad el martes de actualización, el segundo martes de cada mes «, dijo el gigante tecnológico.

Aparte de eso, se cree que la vulnerabilidad puede estar relacionada con otra falla de día cero recientemente revelada, esta vez en el navegador Firefox. Mozilla lanzó un parche para la última vulnerabilidad a principios de este mes.

¿Qué hacer?

La falla recientemente revelada puede mitigarse restringiendo el acceso al componente JScript.dll de JavaScript. Además, Microsoft señaló que el riesgo de explotación es menor en Windows Server, donde Web Explorer está, de forma predeterminada, bloqueado para proteger contra ataques basados ​​en el navegador. Este modo restringido, denominado Configuración de seguridad mejorada, «puede reducir la probabilidad de que un usuario o administrador descargue y ejecute contenido web especialmente diseñado en un servidor», dijo Microsoft.

Mientras tanto, los Estados Unidos Agencia de Seguridad Cibernética e Infraestructura (CISA) lanzó su propio aviso, alentando a los usuarios y administradores a implementar soluciones alternativas y cambiar a otros navegadores hasta que haya un parche disponible.

De hecho, el propio jefe de seguridad cibernética de Microsoft Chris Jackson dijo En 2019, Web Explorer es una «solución de compatibilidad». En otras palabras, a menudo funciona para empresas que dependen de él por razones de compatibilidad con aplicaciones world-wide-web heredadas. Es posible que el navegador no sea la mejor solución para sus necesidades diarias de navegación world-wide-web.

Hace solo unos días, Microsoft lanzó su nuevo navegador Edge basado en Chromium.








Enlace a la noticia first