¡Actualiza ya! Microsoft corrige otra vulnerabilidad día cero

Microsoft ha tenido que solucionar muchas vulnerabilidades día cero recientemente, incluidas la CVE-2018-8611 (corregida este mes) y las de noviembre CVE-2018-8589 y CVE-2018-8589.

Ahora acaba de publicar un parche de emergencia que solucionaba una vulnerabilidad de ejecución de código remoto (RCE) día cero en el motor Jscript de Internet Explorer, que afecta a todas las versiones de Windows, Windows 10 incluido.

Identificada como CVE-2018-8653, la descubrió Clement Lecigne, del Threat Analysis Group de Google, y según Microsoft estaba siendo explotada en ataques dirigidos. La empresa no especificó qué ataques pero el hecho de que se está explotando explica el porqué aplicar este parche tiene una prioridad alta.

Según Microsoft: »En un escenario de ataque basado en la web, un atacante podría alojar una web especialmente creada que estuviera diseñada para explotar esa vulnerabilidad en Internet Explorer y convencer al usuario para que visitara la web, por ejemplo, enviando un correo».

El abuso depende del nivel de privilegios del usuario atacado. El último aviso de Microsoft sugiere a los administradores que consideren limitar el acceso a Jscript.dll si no se plantean implementar el parche pronto.

En los servidores (Server 2008, Server 2012, Server 2016, Server 2019), el nivel de severidad baja de “crítico” a “moderado” gracias a la restricción llamada Enhanced Security Configuration.

Windows 10

Si analizamos con detalle el aviso de Microsoft se observa que el parche también se aplica a IE11 para Windows 10. Pero ¿Windows 10 no había sustituido IE por Edge que utiliza un motor de scripting diferente, Chakra?

Por supuesto, pero por razones de compatibilidad, los componentes de IE permanecen como una parte por defecto de todas las versiones de Windows (con la posible excepción de  Windows 10 Pro Long Term Service Branch (LTSB), una versión configurable de Windows utilizada por grandes empresas).

Por lo que aunque no utilices IE11, o ningún navegador de Microsoft, partes del mismo están latentes en todos los sistemas de Windows, en caso de que alguna aplicación antigua de Microsoft o una web las necesite.

Pese al nuevo comienzo que supuso Windows 10, la filosofía de los sistemas operativos de Microsoft siempre tuvo como una prioridad alta la compatibilidad con los sistemas anteriores.

Deja un comentario

Tu dirección de correo electrónico no será publicada.

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

TE PUEDE GUSTAR

RECIBE LA NEWSLETTER

*Email: *Nombre apellidos: *Empresa: Cargo: Sector:

 
Please don't insert text in the box below!

ARTÍCULOS MÁS RECIENTES

ESCUCHA NUESTRO PODCAST

SÍGUENOS EN RRSS

MÁS COMENTADOS

Ir arriba