Alertan de nueva vulnerabilidad zero day en Edge y Explorer
Google ha vuelto al ataque para asestarle un golpe a Microsoft. El equipo dedicado a la seguridad de la Gran G, Project Zero, ha publicado una nueva vulneravilidad zero day que afecta a Internet Explorer y Microsoft Edge. Este agujero se podría aprovechar para dos propósitos: “tirar” los navegadores o realizar ataques por ejecución arbitraria de código.
El bug, que explota una confusión de tipos en “Handle Column Break On Column Spanning Element
“, fue descubierto el 25 de noviembre de 2016 y se hizo público el pasado día 23 de febrero.
¿Por qué se tardó tanto? Porque Project Zero siempre da 90 días de plazo para hacer públicos sus descubrimientos, de forma que a la empresa le de tiempo de parchearlos. Cuando no lo hacen, entonces se les “avergüenza” públicamente.
No es nuestro cometido determinar si Microsoft se lo merece o no, pero lo que no se puede rebatir es que, según MSPowerUser, la empresa de Redmond ha cancelado el Patch Tuesday de este mes, con lo que deja a sus usuarios con, al menos, dos vulnerabilidades conocidas que se pueden explotar y que no ha corregido. Vale la pena recordar que no es la primera vez que Google le hace algo así a Microsoft.
La vulnerabilidad es fácil de explotar según los investigadores, siendo la prueba de concepto 17 líneas de HTML, enfocadas en dos variables, rcx y rax. En el post de Project Zero podemos leer que un natacante “puede afectar a rax modificando las propiedades de la tabla como el espaciado entre bordes o la anchura del primer elemento”. O sea, que el atacante sólo tiene que apuntar rax a módulos de memoria controlados por él.
Si usas Microsoft Edge o Internet Explorer, lo que puedes hacer para mitigar el fallo es utilizarlos como un usuario de privilegios limitados.
Para ello tendrías que crear una nueva cuenta de administrador en tu PC (en _Panel de control > Cuentas de usuario > Cuentas de usuario) y asegurarte de que te sabes su nombre de usuario y contraseña de memoria.
Después usa dicha cuenta para convertir la tuya principal en una más limitada en el mismo lugar.
Fuente: Project Zero.