Según los investigadores, incluso las computadoras con Windows 7 y todos los parches instalados son vulnerables a la falla de Internet Explorer 9.
Una nueva falla en Internet Explorer 9 se salta todas las medidas de seguridad, incluso en la versión más reciente con todos los parches de Windows 7 (es decir, con SP1), según la compañía francesa Vupen. "La falla utiliza dos vulnerabilidades distintas. La primera permite la ejecución de código arbitrario dentro del sandbox de Explorer 9. La segunda permite la derivación del sandbox para lograr la ejecución de código", asegura el presidente ejecutivo de Vupen, Chaouki Bekra, a la página web Webwereld.
Cabe recordar que Explorer 9 fue anunciado recientemente y que se espera si distribución a través de Windows Update en breve. Este agujero saca partido de una vulnerabilidad sin parchear (de día 0) en Internet Explorer 9 y se salta todas las medidas de seguridad adicionales de Windows 7. La última versión del sistema operativo de Microsoft, plenamente al día con Service Pack 1 (SP1), es vulnerable.
Vupen clasifica la falla de Explorer 9 como fiable, lo que significa que los atacantes pueden ejecutar código en PC con Windows 7. El fallo se las arregla para romper las capas adicionales de seguridad de Windows, tales como ASLR, el DEP y el sandbox (modo protegido) en IE9. El riesgo de este fallo es de momento limitado y aún no se ha propagado mucho. Las vulnerabilidades fueron descubiertas por los investigadores de Vupen, que consiguieron sacar partido de este fallo en ordenadores con Windows 7 y Windows 7 SP1.
Bekra hizo hincapié en que las vulnerabilidades no han sido divulgadas públicamente. "El acceso a nuestro código y el análisis en profundidad de la vulnerabilidad se restringe a nuestros clientes del gobierno que utilizan la información para proteger sus infraestructuras críticas", asegura.
La vulnerabilidad no se limita a la última versión del navegador de Microsoft. El agujero de seguridad también está presente en Internet Explorer 8, 7 y 6. Sin embargo, el código con el que Vupen aprovecha esta falla sólo puede ejecutarse en Windows 7 y Windows Vista.
0 comentarios:
Publicar un comentario