Investigadores de HP localizan vulnerabilidades en Internet Explorer
Las vulnerabilidades descubiertas por el equipo de Zero Day Initiative de HP permiten a un atacante eludir una mitigación clave de exploits de Internet Explorer. Microsoft ya ha sido informado y no planea parchear las vulnerabilidades.
- Project Spartan, el futuro Internet Explorer
- Descubren una vulnerabilidad XSS en Internet Explorer 11
- Microsoft estaría considerando implementar Public Key Pinning en Internet Explorer
- Internet Explorer, Java y Flash son los objetivos más atacados por malware
- EE.UU aconseja seguir las recomendaciones de Microsoft para estar seguros en Explorer
Los investigadores de la Zero Day Initiative de HP han dado a conocer detalles de una serie de vulnerabilidades que permiten a un atacante eludir ASLR (Address Space Layout Randomization), una técnica de mitigación de exploits presente en Internet Explorer que ayuda a prevenir la explotación con éxito de determinada clase de agujeros de seguridad, según recoge una información publicada en threatpost.com.
Aunque la Zero Day Initiative no suele publicar los detalles completos y el código de explotación de los errores que comunica a los fabricantes hasta que estos son solucionados, en este caso lo ha hecho porque Microsoft no planea corregir las vulnerabilidades, a pesar de que los errores fueron lo suficientemente serios como para recompensar al equipo de ZDI con un Blue Hat Bonus de 125.000 dólares. Al parecer, el motivo radica en que las vulnerabilidades no afectan a sistemas de 64 bits, y Microsoft opina que no afectan a demasiados usuarios. Dustin Childs de HP, ha respondido señalando que “pese a que la vulnerabilidad solo afecta a sistemas de 32 bits, es la configuración por defecto en millones de sistemas. Para demostrar esto, hemos publicado el código de prueba de concepto para demostrar este fallo en Windows 7 y Windows 8.1”.
