Actualización de seguridad para Internet Explorer (2965111)
La semana pasada se descubrió una grave vulnerabilidad en el navegador Internet Explorer de Microsoft que afectaba a todas las versiones desde la IE6.
Existía una vulnerabilidad de ejecución remota de código cuando Internet Explorer accede incorrectamente a los objetos en la memoria. Esta vulnerabilidad podría dañar la memoria de tal manera que un atacante podría ejecutar código arbitrario en el contexto del usuario actual.
Un atacante que aprovechara esta vulnerabilidad podría obtener los mismos derechos de usuario que el usuario actual. Si el usuario actual inicia sesión con derechos de usuario administrativos, un atacante que aprovechara esta vulnerabilidad podría lograr el control completo de un sistema afectado. Un atacante podría instalar programas; ver, cambiar o eliminar datos; o crear cuentas nuevas con todos los derechos de usuario.
Un atacante podría alojar un sitio web especialmente diseñado que está diseñado para aprovecharse de esta vulnerabilidad a través de Internet Explorer y, a continuación, convencer a un usuario para que visite el sitio web. El atacante también podría aprovechar sitios web y sitios web comprometidos que aceptan o alojan contenido o anuncios proporcionados por el usuario host. Estos sitios web podrían incluir contenido especialmente diseñado que permita aprovechar esta vulnerabilidad. En todos los casos, sin embargo, el atacante no podría obligar a los usuarios a ver el contenido controlado por el atacante. En su lugar, el atacante tendría que persuadir a los usuarios a tomar medidas, convenciéndoles para que hagan clic en un vínculo de un mensaje de correo electrónico o en un mensaje de Instant Messenger que lleve a los usuarios al sitio web del atacante o al llegar a abrir datos adjuntos enviados por correo electrónico.
Ayer Microsoft publicó una actualización de seguridad para su navegador que está disponible desde hoy para su instalación automática en equipos con cliente Windows o servidores Windows.
En su boletín de seguridad MS14-021 Microsoft dice lo siguiente:
Esta actualización de seguridad resuelve una vulnerabilidad en Internet Explorer. La vulnerabilidad podría permitir la ejecución remota de código si un usuario visita una página web especialmente diseñada mediante una versión afectada de Internet Explorer. Un atacante que aprovechara esta vulnerabilidad podría obtener los mismos derechos de usuario que el usuario actual. Los usuarios cuyas cuentas estén configuradas en el sistema con pocos derechos de usuario correrían un riesgo menor que aquellos que cuenten con derechos de usuario administrativos.
Esta actualización de seguridad se considera crítica para Internet Explorer 6 (IE6), Internet Explorer 7 (IE7), Internet Explorer 8 (IE8), Internet Explorer 9 (IE9), Internet Explorer 10 (IE 10), e Internet Explorer 11 (IE 11) en los clientes de Windows afectados, y moderada para Internet Explorer 6 (IE6), Internet Explorer 7 (IE7), Internet Explorer 8 (IE8), Internet Explorer 9 (IE9), Internet Explorer 10 (IE 10), e Internet Explorer 11 (IE 11) en los servidores de Windows afectados. Para obtener más información, consulte la subsección Software afectado y no afectado, en esta sección.
La actualización de seguridad corrige la vulnerabilidad al modificar la forma en que Internet Explorer trata los objetos en memoria. Para obtener más información acerca de la vulnerabilidad, consulte la subsección Preguntas más frecuentes (P + F) de la entrada de vulnerabilidad específica más adelante en este boletín.
Recomendación. La mayoría de los clientes tienen habilitada la actualización automática y no deben realizar ninguna acción porque esta actualización de seguridad se descargará e instalará automáticamente. Para obtener información sobre las opciones de configuración específicas de la actualización automática, vea Microsoft Knowledge Base el artículo 294871. Para los clientes que no tienen habilitada la actualización automática, se pueden utilizar los pasos en la curva de actualización automática dentro o fuera para habilitar la actualización automática.
Para administradores e instalaciones empresariales, o usuarios finales que deseen instalar esta actualización de seguridad manualmente (incluyendo a los clientes que no han habilitado la actualización automática), Microsoft recomienda que los clientes apliquen la actualización inmediatamente con el software de administración de actualizaciones o busquen las actualizaciones con el servicio Microsoft Update. Las actualizaciones también están disponibles a través de los vínculos de descarga del software afectado en la tabla más adelante en este boletín.
La solución es provisional y hace referencia a un cambio de opción o configuración que no corrige la vulnerabilidad subyacente pero ayuda a bloquear los tipos de ataque conocidos antes de aplicar la actualización. Microsoft ha probado las soluciones provisionales y señala en la explicación si una solución provisional reduce la funcionalidad. También dan varios consejos para la configuración del navegador Internet Explorer.