Microsoft conocía el fallo de Internet Explorer desde hace cinco meses - xombra.com



Tras la grave vulnerabilidad detectada en Internet Explorer, y que tanto ha dado que hablar en los últimos días, Microsoft ha publicado una actualización para su navegador fuera de ciclo destinada a corregir este problema. Para añadir más polémica a todo lo tratado, Microsoft ha reconocido que conocía la existencia de este fallo desde hace cinco meses.

Sin ser el segundo martes de mes, Microsoft acaba de publicar un boletín de seguridad (con identificador MS10-002). Debido a su gravedad, los fallos podrían ser aprovechados por un atacante remoto para ejecutar código arbitrario y comprometer por completo un sistema vulnerable.

La actualización para Internet Explorer, acumulativa como suele ser habitual en las actualizaciones del navegador, está destinada a cubrir un total de ocho vulnerabilidades, si bien no todas son de carácter crítico ni afectan a todas las versiones del navegador. La gravedad de las vulnerabilidades varía en función de la versión del navegador y plataforma Windows sobre la que corre.

La razón de la publicación del boletín fuera de ciclo es debido a la vulnerabilidad del navegador, de la que ya hablamos en un boletín anterior y que estaba siendo explotada de forma activa. Este fallo ya conocido como "Aurora" (asignado al CVE-2010-0249), junto con otras cinco vulnerabilidades, son de naturaleza similar y en muchos casos pueden permitir la ejecución remota de código.

Pero lo más polémico puede surgir tras el reconocimiento por la propia firma de Redmond de que conocía de la existencia del fallo empleado en los ataques contra Google y Adobe (entre otras) desde el pasado mes de agosto. Meron Sellen, un investigador de la firma israelí BugSec había reportado el fallo el pasado mes de agosto y la propia Microsoft confirmó su gravedad en septiembre. Otros fallos similares corregidos en esta actualización también habían sido reportados a Microsoft hace seis meses por Zero Day Initiative. Microsoft tenía planeada la distribución de este boletín para su ciclo habitual de actualizaciones de febrero, sin embargo los ataques han obligado a adelantar su publicación.

Las otras dos vulnerabilidades corregidas son un cross-site scripting y una vulnerabilidad de validación de URLs que también podría dar lugar a la ejecución remota de código a través de una URL maliciosamente construida.

Más Información:

Microsoft Security Bulletin MS10-002 - Critical
Cumulative Security Update for Internet Explorer (978207)
http://www.microsoft.com/technet/security/Bulletin/ms10-002.mspx

Microsoft knew of IE zero-day flaw since last September
http://blogs.zdnet.com/security/?p=5324

Fuente:

Por Antonio Ropero
http://www.hispasec.com



Otras noticias de interes:

 Napster volverá al negocio de la música on line pero por lo legal
Napster volverá a operar en Internet a finales de año con un nuevo modelo de negocio bajo servicios de suscripción. Roxio compró Napster (sitio web pionero en el intercambio gratuito de archivos musicales on line) en noviembre de 2002. Con esta nueva fórmula, Roxio pretende dotar de carácter legal las actividades del portal.
 Obligaron a un investigador a retirarse de una charla sobre virus
Los encargados de buscar a los criminales que infectaron a millones de computadoras con el famoso virus Conficker están intentando limitar el acceso a la información sobre sus creadores
 El 61% de la gente usa la misma contraseña para todo
Una agencia de comunicación con el orginal nombre de @www ha publicado recientemente un estudio según el cual más del 60% de la población que hace uso de contraseñas siempre utilizan la misma en todos los servicios que utilizan..
 Por ser gratuita ¿tiene menos calidad la suite ofimática OpenOffice?
En un articulo titulado “El precio es correcto pero ¿lo es la calidad? (The price is right, but is the quality?), del pasado 28 de abril en The Guardian Unlimited Online, S. A. Mathieson compara las dos suites ofimáticas probablemente más utilizadas actualmente: Microsoft Office y OpenOffice.org, que él califica como su rival para después preguntarse ¿Pero es esta suite ofimática alternativa de Software Libre el hermano pobre de Microsoft Office?, como el tema nos parece interesante, seguimos un razonamiento parecido al suyo para comparar estas dos suites ofimáticas. (Bernardino de la Serna / CDT Internet.net)
 Las Nuevas Tecnologías de la Información al Alcance de Todos
Tengo el gusto de Invitar al Grupo de usuarios LINUX de Venezuela, Capítulo: Valencia - Venezuela, con motivo de celebrarse el mes mundial del Software Libre, al Ciclo de Conferencias:

Indique que busca!!!


Redes sociales

Agregame a tus círculos

Sigueme en Twitter

Agregame a tu lector de RSS



Categorías




blog roll


Nube de tags

  • micros

  • conocía

  • fallo

  • internet

  • explorer

  • hace

  • cinco

  • meses

  • xombra

  • ubuntu

  • linux

  • fedora

  • blog

  • web

  • gentoo

  • debian

  • mint

  • gnu

  • sabayon

  • libre

  • fice

  • thunderbird

  • firefox

  • mozilla

  • vaslibre

  • tware

  • opensource

  • sl

  • centos

  • chrome

  • bug

  • noticia

  • tecnologia

  • computer

  • system

  • php

  • mysql