Microsoft: IE5, IE6 también se ve afectado por la vulnerabilidad del navegador

Una vulnerabilidad sin parche encontrada en Internet Explorer 7 también afecta a versiones anteriores del navegador, así como a la última versión beta, advirtió Microsoft el jueves.

La nueva información amplía el grupo de usuarios que podrían estar en riesgo de infectarse inadvertidamente con software malicioso instalado en su PC, ya que Microsoft aún no tiene un parche listo.

En un aviso actualizado el jueves, Microsoft confirmó que IE 5.01 con el Service Pack 4, IE6 con y sin Service Pack 1 e IE8 Beta 2 en todas las versiones del sistema operativo Windows son potencialmente vulnerables.

[Lectura adicional: cómo eliminar el malware de su PC con Windows]

También son vulnerables los usuarios que ejecutan IE7 en Windo ws XP Service Pack 2 y 3, Windows Server 2003 Service Pack 1 y 2, Windows Vista con y sin Service Pack 1 y Windows Server 2008.

La compañía aclaró cuál es el problema con el navegador después de informes contradictorios de compañías de seguridad informática.

"La vulnerabilidad existe como una referencia de puntero no válida en la función de enlace de datos de Internet Explorer", según el aviso. "Cuando el enlace de datos está habilitado (que es el estado predeterminado), es posible bajo ciertas condiciones liberar un objeto sin actualizar la longitud de la matriz, dejando el potencial para acceder al espacio de memoria del objeto eliminado. Esto puede hacer que Internet Explorer salga inesperadamente, en un estado que es explotable. "

Microsoft dijo que solo ha visto ataques limitados dirigidos a la falla en IE7. Sin embargo, los analistas de seguridad han dicho que parece que se está construyendo un número creciente de sitios web que pueden explotar la vulnerabilidad.

El problema es particularmente grave ya que en algunos casos los usuarios simplemente tienen que ver un sitio web para tener un caballo de Troya. programa descargado automáticamente a su máquina. Una vez en una PC, el pirata informático puede dirigir el programa para descargar otro software incorrecto y realizar acciones tales como enviar correo no deseado y robar datos.

Microsoft describió en el documento varias maneras en que las personas pueden reducir las posibilidades de ser víctima, dependiendo de qué versión del navegador y sistema operativo que están usando. Sin embargo, la solución segura ahora es usar otro navegador hasta que Microsoft lo solucione.

Microsoft publica periódicamente parches el segundo martes del mes, pero se sabe que lanzó un parche fuera de banda si el la amenaza se considera lo suficientemente grave. Microsoft no dice si hará eso y tiende simplemente a liberar la solución.

El siguiente día planificado es el 13 de enero, lo que significa que los atacantes tendrán al menos un mes para infectar tantas computadoras como sea posible si Microsoft planea emite un parche para el error ese día.

La información sobre la vulnerabilidad apareció por primera vez en la región de China. Un grupo de seguridad chino, llamado knownsec, dijo que escuchó rumores sobre la circulación del código en los mercados criminales subterráneos a principios de este año. Se cree que el código de explotación se vendió en un punto por hasta US $ 15,000.

Las vulnerabilidades del software son muy valiosas para los ciberdelincuentes, ya que las fallas se pueden usar para robar detalles de tarjetas de crédito y otros datos financieros. años, Microsoft ha promocionado su mejor registro en seguridad informática, pero aún se ha visto agobiado por nuevos descubrimientos de errores en software más antiguo.