Código para explotar una vulnerabilidad en unpatched de Microsoft Internet Explorer está circulando, una empresa de seguridad dice viernes, pero el peligro sigue siendo bajo como el actual ataque sólo se bloquea el navegador.
Totalmente parcheado de Windows XP SP2 y Windows 2000 SP4 sistemas están abiertos al nuevo ataque, dijo David Cole, director de Symantec de seguridad del grupo de respuesta. "Esta es una prueba de concepto de código, no hemos visto ningún activo explota", dijo Cole. "Ya sea que crece en algo más grande está fuertemente vinculada a si se obtiene la ejecución remota de código [capacidad]", añadió.
La noticia se produce tan sólo tres días después de Microsoft publicó su más reciente actualizaciones de seguridad. El martes, sin embargo, la empresa del navegador no parcheado; fijar un augusto que terminó siendo puesto en libertad tres veces, la última de esta semana, fue la última actualización de IE.
No hay parche disponible ahora para el error, reconoció que Microsoft está investigando. En un asesor de seguridad expedido jueves, la Redmond, Wash desarrollador dijo que la liberación sea un parche en su regularidad regulares actualización mensual, o como un mecanismo de fijar ciclo. Windows Server 2003 no está en situación de riesgo.
El nuevo IE problema está relacionado con un control ActiveX (Microsoft DirectAnimation Camino) que es parte del "daxctle.ocx" objeto COM. Un atacante que aprovechara con éxito la vulnerabilidad podría secuestrar la computadora, Microsoft reconoció, sin ningún tipo de interacción una vez que el usuario ha sido atraídos a un sitio Web malintencionado.
Microsoft parchea los controles ActiveX en varias ocasiones el año pasado como atacantes descubierto que Windows no era adecuada comprobación para ver si los datos transmitidos a los controles fue dentro de los parámetros permitidos. En el caso de la prueba de concepto de código disponibles, JavaScript pasa inaceptable datos para el control, lo que supone un desbordamiento de pila.
Cole dijo que no era un choque de ActiveX que sigue teniendo problemas. "La funcionalidad más [en código], más posibilidades habrá de que hay un error en ella", dijo. "La complejidad es el enemigo de la seguridad. Es un problema difícil de resolver. Desarrolladores tratar de equilibrar rica funcionalidad con la seguridad."
Aunque una verdadera in-the-salvaje explotación no se ha manchado, algunas organizaciones de seguridad sonar la alarma. Danés tracker SECUNIA vulnerabilidad, por ejemplo, clasificó a la IE falla como "extremadamente crítico, es más grave advertencia.
Con un parche disponible, Symantec recomienda que los usuarios comprobar el consejo de Microsoft, que incluía el establecimiento de "matar a bit" para el control ActiveX para desactivarlo. Eso, sin embargo, requiere que los usuarios editar el Registro de Windows, algo que muchos no están preparados para hacerlo. En el pasado, Microsoft's sugerencias específicas para establecer matar bits han sido recogidas por terceros investigadores, que han cranked de herramientas automatizadas para apagar el control.
Otra táctica, dice Microsoft, es deshabilitar todos los controles ActiveX en Internet Explorer de la ventana que aparece después de seleccionar Herramientas | Opciones de Internet.
Internet Explorer 7, que Microsoft publicará a finales de este año para Windows XP (y, a principios del próximo paquete con Windows Vista), pueden obstaculizará vulnerabilidades similares en el futuro, dijo Cole. "Hay algunas señales prometedoras", dijo Cole, "pero pensar que IE 7 será eliminar todas estas vulnerabilidades hace caso omiso de la historia de la seguridad informática."
De hecho, hay cada vez más indicios de que los atacantes pronto meta Web 2.0 aplicaciones escritas en Ajax. Entre Ajax basado en sitios y servicios, contados a Cole la popular red social MySpace, así como de nuevas versiones basadas en la Web e-mail de Microsoft y Yahoo.
"Estamos ya visto un poco de interés," dijo Cole. "El gusano de MySpace, y el Yamanner gusano que atacó a Yahoo Mail [en junio]. No son objeto de explotación rampantly, pero entonces tampoco lo es Ajax se utiliza generalizada.
"Vamos a saber mucho más acerca de cómo la vulnerabilidad Ajax está en el no muy lejano futuro."
Fuente - Tech Web
L'algorithme de Google pour trouver de meilleurs employ�s
How Long Does Valium Show Up On Drug Tests
