Recientemente se ha hecho publica la existencia de una vulnerabilidad crítica en Microsoft Internet Explorer, que puede ser explotada por atacantes remotos para ejecutar comandos arbitrarios.

El fallo se debe a la corrupción de memoria que ocurre al procesar páginas HTML malformadas conteniendo llamadas especialmente construidas a objetos “Window()” de JavaScript, con etiquetas “body onload”. Basta convencer al usuario de que visite una página web maliciosa para obtener de forma remota el control total del sistema afectado.

La vulnerabilidad ha sido confirmada en multiples sistemas Windows, incluido en Windows XP SP2 con Internet Explorer 6 completamente parcheado. Ya se existe un exploit que hace uso de este agujero de seguridad para atacar a posibles victimas, por lo que nuestra recomendación es que hasta que Microsoft publique un parche que solucione el problema desactiveís el scripting en Opciones de Internet -> Seguridad -> Nivel Personalizado de Internet Explorer.

Microsoft ha publicado un comunicado en la que se describe el problema y se da algún que otro consejo para minimizar el riesgo.

Via | Kriptópolis