Microsoft confirma un exploit que aprovecha un fallo crítico en Internet Explorer

Microsoft ha confirmado la existencia de un exploit (código de explotación pública) que aprovecha una vulnerabilidad crítica en los navegadores Internet Explorer bajo todos los sistemas Windows.

La vulnerabilidad fue parcheada la semana pasada mediante actualización MS12-037 de seguridad acumulativa para Internet Explorer (2699988) y podría permitir la ejecución remota de código si un usuario, mediante Internet Explorer, visita una página web especialmente diseñada. Un intruso que aprovechara cualquiera de estas vulnerabilidades podría conseguir el mismo nivel de derechos de usuario que el usuario actual.

La llegada del exploit, además de su disposición pública en la plataforma de test de penetración escrita en lenguaje de programación Ruby Metasploit Framework, convierte la explotación de esta vulnerabilidad en un juego de niños ya que únicamente requiere hacer un clic para apuntar y disparar.

Es obligado, por tanto, la actualización inmediata de los sistemas Windows afectados (todos, tanto cliente como servidor) con la herramienta disponible en Windows Update bajo el boletín MS12-037 y que corrige las vulnerabilidades al modificar la forma en que Internet Explorer trata los objetos en memoria, el saneamiento HTML mediante toStaticHTML, la forma en que Internet Explorer representa los datos durante determinados procesos y la forma en que Internet Explorer crea e inicializa las cadenas.

Conviene señalar que esta vulnerabilidad es completamente diferente a otro fallo de seguridad en Internet Explorer que permite ataques de ejecución remota de código en su cuenta de Gmail y para la que todavía no hay corrección definitiva.