Nueva vulnerabilidad de Internet Explorer pone en riesgo a los usuarios de Windows XP

Nueva vulnerabilidad de Internet Explorer pone en riesgo a los usuarios de Windows XP

Jorge Calderón

Unos investigadores de seguridad han descubierto una nueva vulnerabilidad en Internet Explorer que expone a los usuarios y hace que sus equipos sean vulnerables a ataques hasta que no se lance un parche. El fallo afecta a Internet Explorer 8, el cual está presente en varias versiones de Windows, entre ellas Windows XP.

La revelación de esta nueva vulnerabilidad llega después de la conocida a finales del mes de abril que afectaba a todas las versiones del navegador desde la 6 hasta la 11 y que afectaba a los módulos Flash de Internet Explorer. Como en aquella ocasión, la nueva vulnerabilidad también es del tipo zero-day y ha sido descubierta por la Zero Day Iniciative de HP. Este equipo de investigadores afirma que contactaron con Microsoft en octubre de 2013 para advertirles de la vulnerabilidad que afecta a todas las versiones de Internet Explorer 8, incluida la de Windows XP, que recordemos ha dejado de tener soporte el pasado 8 de abril. A pesar de la advertencia hace ya 7 meses, los de Redmond todavía no han sacado un parche para corregir el fallo.

La vulnerabilidad está relacionado con la forma en que Internet Explorer funciona con los objetos Cmarkup, permitiendo que un atacante pueda ejecutar código arbitrario con facilidad en otro equipo objetivo. Según los investigadores, ocurre inicialmente dentro de CMarkup::CreateInitialMarkup. Se produce después de la ejecución de cierto código de JavaScript seguida de una llamada CollectGarbage. Manipulando los elementos de un documento, un atacante puede forzar a un puntero para ser reutilizado después de que haya sido liberado, por lo que puede aprovechar la vulnerabilidad para ejecutar código en el contexto del actual proceso.

Internet-Explorer-8

Al igual que suele ocurrir con el resto de vulnerabilidades de Internet Explorer, los atacantes necesitan un sitio web comprometido para irrumpir en un sistema afectado que todavía no ha sido parcheado. Estos sitios web podrían incluir contenido especialmente diseñado que permita aprovechar la vulnerabilidad, pero el atacante no puede obligar a los usuarios a ver dicho contenido y lo que necesita es convencerles para que hagan click en un enlace de un correo electrónico o en cualquier otra situación para que los usuarios vayan a la página web determinada. Microsoft todavía no ha proporcionado detalles sobre la vulnerabilidad, aunque se espera que en las próximas semanas lancen una solución de reparación (la típica Fix It) hasta que publiquen un parche completo. Si eres usuario de Windows XP te recomendamos que dejes de usar Internet Explorer, por lo menos hasta que exista un parche que corrija la vulnerabilidad.