Internet Explorer 10 vulnerabilidad día cero(2014 -15-2 febrero )
Microsoft confirmaron otra vulnerabilidad de día cero el lunes en un conjunto de componentes de software que se distribuyen en una amplia variedad de productos de la compañía.
La vulnerabilidad reside en Office Web Components de Microsoft, que se utilizan para publicar hojas de cálculo, gráficos y bases de datos a la Web, entre otras funciones. La compañía está trabajando en un parche, pero no indicó cuándo se lanzaría, de acuerdo con un aviso.
"Específicamente, la vulnerabilidad existe en el control ActiveX de Spreadsheet y, aunque solo hemos visto ataques limitados, si se explota con éxito, un atacante podría obtener los mismos derechos de usuario que el usuario local ", escribió Dave Forstrom, un gerente de grupo que es parte del Security Response Center de Microsoft, en una publicación de blog.
[Más información: cómo eliminar el malware de su PC con Windows]Un control ActiveX es un pequeño programa complementario que funciona en un navegador web para facilitar funciones como la descarga de programas o actualizaciones de seguridad. Sin embargo, a lo largo de los años, los controles han sido propensos a las vulnerabilidades.
El nuevo defecto se produce justo un día antes de que la compañía establezca sus parches mensuales, incluido uno por otra vulnerabilidad de día cero revelada a principios de este mes. Ese problema radica en el control Video ActiveX dentro de Internet Explorer y actualmente los hackers lo utilizan en intentos de descarga drive-by.
En casos de vulnerabilidades especialmente peligrosas, Microsoft se ha desviado de su programación de parches y emitió uno fuera del ciclo.
Microsoft dijo que la falla podría permitir que un atacante ejecute el código de forma remota en una máquina si alguien que utiliza Internet Explorer visita un sitio web malicioso, una técnica de piratería conocida como descarga automática. Los sitios web que alojan contenido o anuncios proporcionados por el usuario podrían manipularse para aprovechar la vulnerabilidad.
"En todos los casos, sin embargo, un atacante no podría forzar a los usuarios a visitar estos sitios web", dijo el aviso. "En cambio, un atacante tendría que persuadir a los usuarios para que visiten el sitio web, generalmente haciendo que hagan clic en un enlace en un mensaje de correo electrónico o mensaje de Instant Messenger que lleva a los usuarios al sitio web del atacante".
Microsoft emitió lista de software afectado, que incluye Office XP Service Pack 3, 2003 Service Pack 3, varias versiones de Internet Security and Acceleration Server y Office Small Business Accounting 2006, entre otros.
Hasta que un parche esté listo, Microsoft dijo una opción para administradores es para deshabilitar Office Web Components para que se ejecute en Internet Explorer y ha proporcionado instrucciones.
Microsoft brinda orientación sobre la vulnerabilidad de día cero de Windows 7
Microsoft emitió un aviso de seguridad relacionado con una vulnerabilidad de día cero notificada en Windows 7. Aquí se explica cómo proteger sus sistemas en espera de otro parche.
Investigadores: la vulnerabilidad de PDF en cero días afecta a Adobe Reader 11, versiones anteriores
Investigadores de la firma de seguridad FireEye afirman que los atacantes utilizando activamente un exploit de ejecución de código remoto que funciona en contra de las últimas versiones de Adobe Reader 9, 10 y 11.
Adobe confirma el exploit de día cero pasa por alto el entorno limitado de Adobe Reader
Un exploit encontrado recientemente que elude la protección anti-explotación del espacio aislado en Adobe Reader 10 y 11 es altamente sofisticado y probablemente sea parte de una importante operación de ciberespionaje, dice Kaspersky.