Nueva vulnerabilidad descubierta en Internet Explorer que afecta a todas las versiones.

Una nueva vulnerabilidad que afecta a todas las versiones de Internet Explorer ha sido descubierta por la francesa de investigación VUPEN. Tal vulnerabilidad podría dar lugar a la ejecución de código. Según se ha podido saber la investigación llevada a cabo por la empresa francesa solo será revelada a clientes de pago y no entrará en detalles con Microsoft a menos que pague por la información. Según un artículo publicado por OWASP (Open Web Application Security Project), este tipo de vulnerabilidad tiene un nivel de riesgo muy alto y tiene una probabilidad alta de explotación por terceros. Conoce a continuación de los detalles de la noticia.

La empresa de investigación Francesa VUPEN anteriormente conocida por FrSIRT ha publicado un comunicado un Twitter sobre una vulnerabilidad en Internet Explorer, acreditandose también el descubrimiento de numerosas vulnerabilidades críticas en el software de gran despliegue, incluido el de Microsoft, afirmando también haber descubierto las dos primeras vulnerabilidades en la suite de Microsoft: Office 2010. Por lo visto, la empresa Francesa no está dispuesta a regalar de forma gratuita a los vendedores afectados, sin embargo si está dispuesta a vender su información y investigación a los que paguen por ella, por ejemplo a los más afectados, uno de ellos por supuesto y como habreis adivinado: Microsoft. Entrando en detalles, el problema de la vulnerabilidad viene, cuando el uso de memoria previamente liberada, puede tener cualquier número de consecuencias negativas, que van desde la corrupción de datos válidos para la ejecución de código arbitrario, en función de la creación de instancias y en el momento de la falla. Según el artículo publicado por OWASP, la memoria después de haber sido liberada puede hacer que un programa se bloquee y a un comportamiento indefinido, y podría ser aprovechada por un atacante para lanzar un ataque de desbordamiento de búfer,la consecuencias pueden afectar a la integridad, disponibilidad y al control de acceso, siendo de un índice de gravedad muy alta.

Por otra parte, la empresa Francesa de seguridad VUPEN declara que no divulgará más errores de forma gratuita, aunque la empresa sigue proporcionando información de inteligencia sobre las vulnerabilidades sin parches a lo diferentes gobiernos que son miembros de su programa de protección contra amenazas. La información que suelen dar incluye un análisis completo binario y las directrices de detección.

Fuente:softzone.