Microsoft ha publicado aviso de seguridad de nueva vulnerabilidad descubierta en su navegador que podría permitir la ejecución remota de código arbitrario.
- Se anuncian como vulnerables las versiones de Internet Explorer 6, 7 y 8, mientras que la beta de Internet Explorer 9 se libra de este problema.
- Según reconoce Microsoft en su aviso, en la actualidad la vulnerabilidad se está explotando de forma activa.
Detalles técnicos
- El problema reside en que Internet Explorer al procesar determinadas combinaciones de hojas de estilo asigna la memoria de forma incorrecta.
- Concretamente en el módulo "mshtml.dll" al procesar el atributo "clip" con una posición determinada de las CSS (Cascading Style Sheets).
- Esto podría permitir a un atacante remoto la ejecución de código arbitrario a través de una página específicamente manipulada.
Recomendaciones
Microsoft no ha desarrollado aún la actualización correspondiente y como contramedida se recomienda:
- Anular las hojas de estilo con una CSS definida por el usuario
- Asignar las zonas de seguridad del navegador a un nivel Alto
- Implementar el Enhanced Mitigation Experience Toolkit (EMET)
- Ó habilitar Data Execution Prevention (DEP) para Internet Explorer 7.
Fuente: Microsoft