Una vulnerabilidad zero-day es aquella vulnerabilidad que se reporta nada más ser detectada. Las primeras horas entre el reporte y el parche correspondiente son críticas ya que, al igual que los desarrolladores no tienen conocimiento de esta vulnerabilidad, los piratas informáticos tampoco y ambos compiten por ser los primeros en desarrollar un parche de seguridad o un exploit que ataque a dicho software.
Microsoft ha hecho pública hace pocas horas una vulnerabilidad zero-day para Internet Explorer que afecta, concretamente, a la versión 8 de su navegador web. Esta vulnerabilidad, llamada CVE-2014-1770, ha sido publicada ayer en el sitio web Zero Day Initiative pese a que dicha vulnerabilidad fue detectada y reportada el pasado mes de octubre de 2013 por el usuario y hacker corelanc0d3r.
Según se ha podido conocer, este usuario envió la vulnerabilidad de Internet Explorer a Microsoft tan pronto como fue detectada (en octubre de 2013) pero no recibió respuesta por parte de la compañía hasta pasados 4 meses (febrero de 2014) y, pese a recibir dicha respuesta, la compañía no publicó ninguna información al respecto de esta vulnerabilidad ni su parche correspondiente hasta hace pocas horas cuando, definitivamente, la vulnerabilidad fue confirmada y hecha pública por la compañía.
Tal como podemos leer en Zero Day Initiative, esta vulnerabilidad ha sido considerada como un fallo zero-day (pese a tener más de 180 días desde su reporte) y afecta únicamente a la versión 8 de Internet Explorer. Un pirata informático que explote correctamente esta vulnerabilidad puede conseguir ejecutar código remoto en el sistema vulnerable a través de un bug en los objetos CMarkup. Las 2 posibles formas de explotar esta vulnerabilidad son a través de un sitio web previamente infectado al que acceda el usuario o a través de mensajes de correo electrónico vulnerables.
Aún no hay una solución disponible a esta vulnerabilidad del conocido navegador de Microsoft Internet Explorer ni se conocen las razones por las que Microsoft ha ocultado este fallo durante tanto tiempo. La mejor forma de protegerse temporalmente ante ella es bloquear los controles ActiveX y Active Scripting o utilizar otro navegador web alternativo que nos garantice la seguridad necesaria evitando este tipo de vulnerabilidades. Es importante saber cuánto Internet vas a gastar.
¿Eres usuario de Internet Explorer 8? ¿Por qué crees que Microsoft ha ocultado esta vulnerabilidad durante más de 6 meses?
Fuente: The Hacker News