Microsoft lanzó hoy una actualización de software de emergencia para tapar un fallo de seguridad crítico en todas las versiones de su navegador Internet Explorer, desde IE7 a IE 11 (este defecto no parece estar presente en Microsoft Edge, el nuevo navegador de Redmond y destinado a sustituir IE).
De acuerdo con el aviso que acompaña al parche, esta es una vulnerabilidad de navega y se infectado, es decir, los usuarios de IE se pueden ser infectados simplemente accediendo a un sitio web hackeado o malicioso. Los usuarios de Windows deben instalar el parche aun si no usan IE como su navegador principal, ya que componentes de IE pueden ser invocados desde una variedad de aplicaciones, como Microsoft Office. El parche de emergencia está disponible a través de Windows Update o desde el sitio Web de Microsoft.
El aviso de Microsoft no especifica si esta falla está siendo activamente explotada por atacantes, pero los expertos en seguridad de la firma de gestión de vulnerabilidades de Qualys dicen que ya está sucediendo.
"La vulnerabilidad (CVE-desde 2015 hasta 2502) está siendo activamente explotada en Internet", escribió Wolfgang Kandek, director de tecnología de Qualys, en un blog acerca de la actualización. "El código de ataque se encuentra alojado en una página web maliciosa los usuarios tendrían que visitar con el fin de ser infectados."
Según Qualys, los atacantes están utilizando una serie de mecanismos para aumentar su alcance objetivo y atraer a los usuarios a la página web que incluyen:
"Ahora que la vulnerabilidad se ha dado a conocer esperamos que el código de ataque sea difundido ampliamente y sea integrado en exploit kits y frameworks de ataque", escribió Kandek. "Parchen lo más rápido posible."
El parche se produce tan sólo una semana después de la compañía lanzó una serie de actualizaciones de IE y otras correcciones de fallos de seguridad en Windows y componentes de Windows como parte de su ciclo de parches regulares, martes de parches (el segundo martes de cada mes). El aviso acredita un empleado de Google con informar de la vulnerabilidad.
 |
| Imagen: Redmondmag |
El aviso de Microsoft no especifica si esta falla está siendo activamente explotada por atacantes, pero los expertos en seguridad de la firma de gestión de vulnerabilidades de Qualys dicen que ya está sucediendo.
"La vulnerabilidad (CVE-desde 2015 hasta 2502) está siendo activamente explotada en Internet", escribió Wolfgang Kandek, director de tecnología de Qualys, en un blog acerca de la actualización. "El código de ataque se encuentra alojado en una página web maliciosa los usuarios tendrían que visitar con el fin de ser infectados."
Según Qualys, los atacantes están utilizando una serie de mecanismos para aumentar su alcance objetivo y atraer a los usuarios a la página web que incluyen:
- Hospedar el exploit en las redes de anuncios, que luego son utilizados por los sitios web enteramente legítimos
- Obtener control sobre los sitios web legítimos, por decir blogs, mediante la explotación de vulnerabilidades en el software de la plataforma o simplemente credenciales débiles
- Creación de sitios web específicos para el ataque y la manipulación de resultados de motores de búsqueda
- Envio de un enlace al sitio por correo electrónico u otros programas de mensajería
"Ahora que la vulnerabilidad se ha dado a conocer esperamos que el código de ataque sea difundido ampliamente y sea integrado en exploit kits y frameworks de ataque", escribió Kandek. "Parchen lo más rápido posible."
El parche se produce tan sólo una semana después de la compañía lanzó una serie de actualizaciones de IE y otras correcciones de fallos de seguridad en Windows y componentes de Windows como parte de su ciclo de parches regulares, martes de parches (el segundo martes de cada mes). El aviso acredita un empleado de Google con informar de la vulnerabilidad.
