Microsoft ha anunciado oficialmente la existencia de una vulnerabilidad de tipo día-cero que afecta a todas las versiones de su navegador Microsoft Internet Explorer menos la versión beta de su Internet Explorer 9. Los usuarios de Internet Explorer 6, Internet Explorer 7 y Internet Explorer 8 corren el peligro de sufrir la ejecución remota de código a través de un agujero en la función CSS, que es la que se encarga de darle un estilo a la página web y determinar como se va a mostrar.
Al parecer, algunas páginas creadas para ese fin pueden aprovecharse de la memoria sin utilizar durante el proceso CSS para conseguir privilegios del usuario afectado y controlar el ordenador. De esta forma el cibercriminal también puede robar los datos personales del usuario. Aunque la amenaza es grave, Microsoft no ha encontrado de momento casos en los que se hayan producido ataques de este tipo.
Para mitigar los posibles efectos de este ataque, la empresa ha elaborado una serie de consejos. En primer lugar, el paso básico de contar con un cortafuegos activo. Después, es aconsejable activar el modo protegido de Internet Explorer, disponible a partir de Windows Vista, lo que disminuye los privilegios del atacante si consigue explotar el sistema. Curiosamente, al poder lograr los mismos privilegios que el usuario que este utilizando el ordenador, el daño será menor si el usuario tiene menos privilegios.
En definitiva, el ataque siempre comienza en un entorno web, lo que impide al atacante aprovecharse de esta vulnerabilidad a menos de que el usuario visite su web. Por tanto, es aconsejable evitar cualquier página sospechosa o de la que no estemos muy seguros, así como los enlaces de páginas desconocidas que nos lleguen a través de la red. Microsoft tiene previsto sacar un parche de seguridad de esta vulnerabilidad en la actualización de seguridad mensual. La próxima tendrá lugar el 11 de enero.
Fuente:http://www.tuexpertoit.com