Microsoft libera un parche de emergencia para un día cero en Internet Explorer

 In Actualidad

Microsoft ha liberado una actualización de seguridad para parchear una vulnerabilidad de día cero en Internet Explorer, que está siendo explotada activamente.

Hace escasas horas se ha dado la voz de alarma acerca de una vulnerabilidad de día cero en Internet Explorer: se ha detectado una vulnerabilidad en el motor de scripting del famoso navegador de Microsoft.

Esta vulnerabilidad permite que un código arbitrario (RCE) sea ejecutado en el contexto del usuario que ejecuta el navegador.

Esta vulnerabilidad podría ser explotada al abrir un fichero HTML especialmente diseñado, también al abrir un fichero PDF o un documento de Office; en general, podríamos referirnos a cualquier documento que pueda tener contenido incrustado dentro del motor de scripting de Microsoft.

Esta vulnerabilidad se ha anunciado que afecta a:

  • Internet Explorer 9 sobre Windows Server 2008
  • Intenet Explorer 10 sobre Windows Server 2012
  • Internet Explorer 11 sobre Windows 7 hasta Windows 10
  • Internet Explorer sobre Windows Server 2019
  • Windows Server 2016
  • Windows Server 2008 R2
  • Windows Server 2012 R2

Por el momento, no se dispone de información adicional sobre la campaña que se aprovecha de esta vulnerabilidad, ni tampoco ninguna prueba de concepto que demuestre este bug.

Como siempre, se recomienda actualizar Windows a través de Windows Update a la mayor brevedad posible, o si esto no fuera posible, utilizar el siguiente workaround:

  • En sistemas de 64 bits: cacls %windir%\syswow64\jscript.dll /E /P everyone:N
  • En sistemas de 32 bits: cacls %windir%\system32\jscript.dll /E /P everyone:N

Para más información:

https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2018-8653

Recommended Posts