Un ingeniero de Google descubrió una falla de día cero en Internet Explorer que le permitiría a un atacante tomar el control total de un sistema sin parches.
Detallado en CVE-2018-8653, la vulnerabilidad de corrupción de memoria del motor de secuencias de comandos afecta a Internet Explorer en todas las versiones compatibles de Windows, desde Windows 7 a Windows 10 (versión 1809 incluida).
El error fue descubierto y reportado a Microsoft por Clement Lecigne, del Grupo de Análisis de Amenazas de Google. Si bien no fue divulgada públicamente, la vulnerabilidad ya está siendo explotada, según Microsoft.
Para comprometer un sistema vulnerable, un atacante debe señalar a los usuarios un sitio web malicioso creado específicamente para explotar la falla. Como resultado, se recomienda a los usuarios que se mantengan alejados de los enlaces web que no son de confianza hasta que actualicen sus dispositivos.
“Existe una vulnerabilidad de ejecución remota de código en la forma en que el motor de secuencias de comandos maneja los objetos en memoria en Internet Explorer. La vulnerabilidad podría dañar la memoria de tal manera que un atacante podría ejecutar código arbitrario en el contexto del usuario actual. Un atacante que explotó con éxito la vulnerabilidad podría obtener los mismos derechos de usuario que el usuario actual ", explica Microsoft.
“Si el usuario actual ha iniciado sesión con derechos de usuario administrativos, un atacante que aprovechó la vulnerabilidad podría tomar el control de un sistema afectado. Un atacante podría entonces instalar programas; ver, cambiar, o eliminar datos; o crear nuevas cuentas con todos los derechos de usuario ".
Microsoft ya ha resuelto la falla de seguridad con las últimas actualizaciones acumulativas de Windows 10 , y también se han lanzado parches de seguridad para Windows 7 y Windows 8.1. Están disponibles ahora desde Windows Update como KB4483187 para ambos sistemas.
Internet Explorer ya no es el navegador número uno de Microsoft, pero sigue recibiendo actualizaciones de seguridad. Microsoft Edge no está afectado por la vulnerabilidad.
Fecha actualización el 2021-12-20. Fecha publicación el 2018-12-20. Categoría: google Autor: Oscar olg Mapa del sitio Fuente: softpedia