Nuevo fallo de seguridad en Internet Explorer 8

Microsoft ha confirmado que su navegador Internet Explorer 8 es vulnerable a ataques que pueden ser lanzados desde un sitio web comprometido. Una explotación exitosa del fallo de seguridad del navegador puede dar al atacante el control total del equipo, dependiendo de los privilegios de usuario de la víctima en ese ordenador.

El fallo CVE-2013-1347 expone a los ordenadores afectados a la ejecución remota de código y afecta al funcionamiento de Internet Explorer 8 en todas las versiones de Windows: XP, Vista, 7 y 8. Microsoft está trabajando para resolver este fallo 0-Day, aunque aún no ha encontrado una solución.

El fabricante de software ha explicado que esta grave vulnerabilidad existe en accesos a Internet Explorer conformados como objetos en la memoria y que se han eliminado o no se han asignado correctamente. Esto permite la corrupción de la memoria y la ejecución remota de código.

El nuevo agujero de seguridad en IE8 es explotado por la herramienta de administración remota Poison Ivy, tristemente famosa por su activo papel en muchos ataques de malware. Esta herramienta es usada a menudo por ciberdelincuentes para robar información de las empresas y extraer documentos confidenciales, así como archivos de redes corporativas y gubernamentales.

De hecho, y según la información publicada por CSO, uno de los nueve sitios que, al menos, han sido hackeados aprovechando este fallo es la web del Departamento de Trabajo de EEUU. Concretamente, su sitio Site Exposure Matrices es un repositorio de información sobre las sustancias tóxicas presentes en instalaciones del Departamento de Energía, lo que sugiere que entre los objetivos está la industria de la energía nuclear.