[20/12/2018] Microsoft ya casi nunca menciona Internet Explorer (IE), pero cuando lo hace, suele significar malas noticias.
Así que fue el miércoles, cuando Microsoft publicó una rara actualización de seguridad de emergencia para conectar una vulnerabilidad crítica en los IE9, IE10 e IE11, aún soportados. La falla fue reportada a Microsoft por el ingeniero de seguridad de Google, Clement Lecigne.
Según Microsoft, los atacantes ya están explotando la vulnerabilidad, lo que la convierte en un clásico error de "día cero". Debido a esto, la compañía publicó un arreglo antes de la próxima ronda de actualizaciones de seguridad programada para el 8 de enero.
La actualización se publicó para Windows 7, 8.1 y 10, este último con parches para las versiones 1607 y posteriores, así como para Windows Server 2008, 2012, 2016 y 2019. (Las actualizaciones de algunas versiones de Windows 10 -1607 y 1703- solo estaban disponibles para Windows 10 Enterprise y Windows 10 Education.)
"Existe una vulnerabilidad de ejecución de código remoto en la forma en que el motor de scripting maneja los objetos en memoria en Internet Explorer", declaró Microsoft en el documento de soporte CVE-2018-8653. "La vulnerabilidad podría corromper la memoria de tal manera que un atacante podría ejecutar código arbitrario en el contexto del usuario actual".
La vulnerabilidad podría explotarse simplemente atrayendo a los usuarios que ejecutan IE9, IE10 o IE11 a un sitio web malicioso, quizás con un correo electrónico de phishing.
Microsoft degradó el IE a un estado heredado a principios del 2016; aunque la empresa prometió continuar parcheando las vulnerabilidades del navegador, dejó de mejorarlo. La única razón por la que Microsoft seguía prestando servicios a IE era para que los usuarios empresariales de Windows 7, 8.1 y 10 pudieran seguir ejecutando aplicaciones web personalizadas y sitios de intranet antiguos. El futuro, ha dicho Microsoft una y otra vez, es Edge, que solo funciona en Windows 10.
En noviembre, IE representaba solo el 9,6% de la cuota global de usuarios de navegadores, medida por el proveedor de análisis Net Applications, y aproximadamente el 11% de todos los PC con Windows. Esas cifras enmascaraban un problema más grave: en los 12 meses anteriores, IE perdió una quinta parte de sus usuarios, una tasa de disminución insostenible.
La solución de seguridad de IE se ofrecerá, descargará e instalará automáticamente en la mayoría de los PC con Windows no administrados.
Gregg Keizer, Computerworld (EE.UU.)