(Por El Microsaurio) Un mensaje de Vupen Security informó que el 9 de diciembre el amable y desinteresado personal del website de seguridad Woo Yun (vaaamos…) les detalló una vulnerabilidad en Microsoft Internet Explorer, que funcionaba en todas las versiones, sobre todos los sistemas operativos soportados actualmente por esa empresa. Es grave, y habrá que esperar una actualización salvadora. Eso significa, querido/a amigo/a, que estáis en el horno… Por ahora, ajo y agua.
Seamos breves. Es un defecto de programación (what else?!) en mshtml.dll, cuando este componente abre una hoja de estilo CSS preparada de Cierta Manera (Más detalles ni en joda; para buen entendedor, ahí está el gúgle).
Por ahora, Microsoft sólo se ha limitado a reconocer el problema en el blog de Security Reserch and Defense donde señalan que quienes exploten esta falla podrán pasar por sobre las defensas incorporadas en los Internet Explorer más mononos.
Además la empresa publicó la Security Advisory 2488013 cuya versión en castellano encontré en esta otra página donde, además de agregar otros detalles, mencionan dos formas de mitigar los ataques: una de ellas es emplear un conjunto de herramientas llamado “Enhanced Mitigation Experience Toolkit” o (versión española) “el Kit de herramientas de Experiencia de mitigación mejorada”, cuyo funcionamiento se detalla en un artículo de su Base de Conocimientos, el Microsoft Knowledge Base Article 2458544. Ojo, que esta herramienta no es para gente con el clic fácil o para el típico usuario final que no es del palo informático.
Siguiendo otro método, que aparece en la misma Security Advisory, aconsejan que se deshabilite ActiveX y Active Scripting en el Internet Explorer, dado que los vectores de ataque pueden esconderse en páginas web. (Sospecho que esto lo sugieren para los que no se atrevan a usar la herramienta detallada ahí arriba…)
Por mi parte, me parece más simple que usen otro navegador, hasta que algún desgraciado encuentre la forma de hacer saltar esa DLL de Windows desde Firefox u Opera, por ejemplo, o hasta que haya Fumata Bianca (parche).
Quedan avisados. Ah, claro, por supuesto que la aparición de esta falla en diciembre no está relacionado para nada con el millonario movimiento de fondos por compras a través de la Internet durante este fin de semana y el próximo… excepto que para poner tu número de tarjeta en el página del carrito de compras, usás un navegador web. Y por supuesto dos, Microsoft afirma que no hay ataques reales detectados por ahora.
Primera Nota: Según parece, como hasta hoy el equipo de seguridad de Microsoft no encontró la vuelta al problema, ha decidido contratar a programadores externos especializados en mitigación de incidentes de seguridad. Los primeros citados a Redmond para mañana temprano fueron los de Adobe Flash, junto con la gente de Apple Safari.
Segunda Nota: el 95% inicial de esta nota es verdadero. El otro responde a la fecha. A buen entendedor…
Warning: Uninitialized string offset 21 in /www/tecnozona.com/htdocs/wp-includes/functions.php on line 291
Warning: Uninitialized string offset 21 in /www/tecnozona.com/htdocs/wp-includes/functions.php on line 291