Llegamos a ustedes gracias a:



Alertas de Seguridad

Microsoft ofrece actualizaciones de seguridad de emergencia

Para Internet Explorer

[24/09/2019] Microsoft publicó el lunes una actualización de seguridad de emergencia para parchear una vulnerabilidad en Internet Explorer (IE), el navegador heredado utilizado predominantemente por los clientes comerciales.

La falla, que fue reportada a Microsoft por Clement Lecigne, un ingeniero de seguridad del Grupo de Análisis de Amenazas (TAG) de Google, ya ha sido explotada por los atacantes, convirtiéndolo en un clásico "día cero", una vulnerabilidad que se utiliza activamente antes de que se aplique un parche.

En el boletín de seguridad que acompañó a la publicación del parche IE, Microsoft etiquetó el error como una vulnerabilidad de código remoto, lo que significa que un hacker podría, al explotar el error, introducir código malicioso en el navegador. Las vulnerabilidades de código remoto, también llamadas ejecución de código remoto, o fallas RCE, se encuentran entre las más graves. Esa seriedad, así como el hecho de que los criminales ya están aprovechando la vulnerabilidad, se reflejó en la decisión de Microsoft de salir "fuera de banda", o fuera del ciclo habitual de parches, para tapar el agujero.

Tradicionalmente, Microsoft entrega sus actualizaciones de seguridad el segundo martes de cada mes, el llamado "Patch Tuesday". La próxima fecha será el 8 de octubre o dentro de dos semanas.

"En un escenario de ataque basado en la web, un atacante podría alojar un sitio web especialmente diseñado para explotar la vulnerabilidad a través de Internet Explorer y luego convencer a un usuario de que vea el sitio web, por ejemplo, enviando un correo electrónico", escribió Microsoft en el boletín.

El error está en el motor de scripting de IE, dijo Microsoft, pero no lo elaboró.

Microsoft publicó actualizaciones de seguridad para Windows 10, Windows 8.1, Windows 7, Windows Server 2019, Windows Server 2016, Windows Server 2012 y 2012 R2, y Windows 2008 y 2008 R2. Todas las versiones de IE que aún son soportadas fueron parcheadas, incluyendo IE9, IE10 y la IE11 dominante.

IE fue degradado a la categoría de segundo ciudadano con la introducción de Windows 10, pero Microsoft ha sido inflexible en cuanto a que seguirá siendo compatible con el navegador. IE, en particular IE11, sigue siendo necesario en muchas empresas y organizaciones para ejecutar aplicaciones web antiguas y sitios web internos. El navegador puede retroceder a un "modo" dentro de un Microsoft Edge enormemente reelaborado -y el stand-alone abandonado- pero IE seguirá viviendo de alguna forma.

Aun así, ya no es el chico más popular del barrio: Según los últimos datos del proveedor de análisis web Net Applications, IE representaba solo el 9% de toda la actividad de navegación basada en Windows. En comparación, la participación de Edge en el total de Windows fue de alrededor del 7%.

De acuerdo con la información de la descripción del paquete de actualización, la corrección de emergencia de IE solo está disponible a través del Catálogo de Microsoft Update. Los usuarios tendrían que dirigir un navegador a ese sitio web y, a continuación, descargar e instalar la actualización. La forma más fácil de localizar la actualización de IE es utilizando el enlace en el KB apropiado para el sistema operativo (para la base de conocimientos) extraído del boletín de seguridad. (Nadie dijo que Microsoft lo hace fácil.)

Los flujos de servicio automatizados, incluidos Windows Update y Windows Server Update Services (WSUS), comenzarán a ofrecer la actualización fuera de banda hoy mismo.

Esta no es la primera vez que Microsoft ha tenido que parchear Internet Explorer sobre la marcha para una vulnerabilidad de scripting que está siendo explotada por hackers. En diciembre del 2018, el desarrollador de Redmond, Wash. envió una actualización de seguridad de emergencia para tratar la forma en que el "motor de secuencias de comandos" de IE maneja los objetos en memoria, el lenguaje exacto utilizado en el boletín del lunes.