Este fin de semana nos fuimos a casa con una nueva vulnerabilidad crítica en el Internet Explorer que permite ejecutar código de forma remota en la máquina del usuario afectado. O sea en aproximadamente el 80% de los ordenadores de este planeta. Una alegría, vamos.
La vulnerabilidad fue remitida por la gente de Computer Terrorism y, como decían en Kriptópolis, casi no merece la pena hablar de ello por acostumbrado... yo creo que a estas alturas lo que deberíamos de publicitar como noticia son los periodos en que no existiera ninguna vulnerabiliad conocida y no parcheada sobre este infame navegador...
No obstante, viendo las listas de configuraciones vulnerables publicadas por la propia Microsoft y por Computer Terrorism y comparando ambas yo creo que si que merece la pena comentar al menos un par de cosas al respecto:
Microsoft ha anunciado que no habrá parche inmediato y que este se liberará en forma de parche acumulativo el 11 de abril a pesar de que reconocen (en la misma nota) que esta vulnerabilidad ya está siendo explotada. Los chicos de Hispasec (como siempre a pie de tajo) publican un boletín donde dan una serie de consejos para minimizar el problema y la lista de antivirus que detectan los primeros ataques detectados. Conseguir un exploit (o dos) para jugar con el es tan fácil como ir al supermercado, así que ya veremos si tenemos movida en estas dos semanas que restan hasta el segundo martes de abril...
Ahumado debe de estar ya... Y vosotros ¿A qué estais esperando?
ACTUALIZACIÓN: Leo en Kriptópolis que, al igual que ya ocurrió con la vulnerabilidad de los WMF, ha aparecido un parche no oficial para cubrir la vulnerabilidad. En este caso el desarrollo ha corrido a cargo de eEye Digital Security (ya sabeis, la gente de Retina). Microsoft, por su parte, al igual que hizo ya en la otra ocasión, desaconseja la aplicación de este parche a pesar de que los fuentes del mismo están disponibles para todo el mundo.
