HP libera código de explotación para IE de día cero que Microsoft no va a parchar

A pesar de haber pagado 125 mil dólares por información acerca de un Address Space Layout Randomisation (ASLR), vulnerabilidad que afecta a Internet Explorer, Microsoft tomó la decisión de no desarrollar los parches porque considera que no afecta a la configuración predeterminada de IE.

Pero los miembros del grupo de investigación de vulnerabilidades HP Zero Day Initiative (ZDI), quienes han descubierto esta falla de día cero, creen que “los usuarios afectados deben estar tan bien informados como sea posible con el fin de tomar las medidas que consideren apropiadas para sus propias instalaciones”.

Es por eso que publicaron una prueba de concepto (PoC) para demostrar esta evasión en Windows 7 y Windows 8.1, además de todos los detalles acerca de las técnicas de investigación junto con consejos sobre cómo mejorar las defensas en el navegador.

“La liberación de este nivel de detalle acerca de una vulnerabilidad no es algo que normalmente trabajemos ni lo realizamos a la ligera. Para ser muy claros, no estamos haciendo esto por despecho o por malicia”, explicó Dustin Childs de HP. “Sin embargo, desde que Microsoft confirmó en correspondencia con nosotros que no planean tomar medidas para esta investigación, nos sentimos con la necesidad de proporcionar los datos al público. Lo hacemos de acuerdo con los términos de nuestro propio programa de divulgación de vulnerabilidades ZDI.”

Asimismo, añadió que este no es el primero de los proveedores que ha decidido no solucionar un problema y que seguramente no será la última vez.

Por desgracia es probable que la información divulgada venga de la mano con el desarrollo de un kit de exploits.

Ver informacion original al respecto en Fuente:
http://www.seguridad.unam.mx/noticia/?noti=2371