Sobre el ZERO DAY del Internet Explorer (Ejecución remota de código en Internet Explorer del 6 al 11)

Microsoft ha publicado un boletín de seguridad para alertar de una
vulnerabilidad sin parche en Internet Explorer que podría permitir la
ejecución remota de código.

El boletín, publicado el sábado 26 de Abril, expone una vulnerabilidad
en el navegador web de Microsoft. Se debe a un error al intentar acceder
a un objeto en la memoria que no se ha asignado correctamente o se ha
eliminado previamente. Esto podría corromper la memoria y permitir a un
atacante remoto ejecutar código arbitrario con los permisos del usuario
actual de Internet Explorer.

Para explotar este error de seguridad bastaría convencer a un usuario
para que visite, a través del navegador Internet Explorer, un sitio web
especialmente diseñado por el atacante.

La vulnerabilidad ha sido identificada como CVE-2014-1776 y afectada a
todas las versiones del navegador Internet Explorer desde la 6 hasta la
11.

Microsoft afirma haber detectado que la vulnerabilidad está siendo
explotada, sin embargo continúa estudiando el problema y liberará los
parches en la próxima actualización mensual del martes 13 de Mayo o en
una actualización fuera de ciclo, en función de la gravedad del mismo.

Fuente: http://unaaldia.hispasec.com/2014/04/ejecucion-remota-de-codigo-en-internet.html#comments

Más información:

Microsoft Security Advisory 2963983
https://technet.microsoft.com/en-us/library/security/2963983

NOTA:

Como sea que segun Microsoft DICEN QUE NO VAN A CORREGIR EL FALLO EN IE8, que se usa normalmente en XP, por estar fuera de ciclo de actualizaciones, cabe desactivar el pluguin del FLASH en IE, como ya indicabamos en el anterior comunicado al respecto, o bien, si Microsoft persiste en la negativa de no corregir dicho fallo en el IE8, se puede soslayar usando otro navegador, como el CHROME o el FIREFOX, que no tienen dicha vulnerabilidad.

saludos

ms, 28-4-2014