Microsoft anunció el 14 de enero, el Asesor de Seguridad de 979.352 con respecto a una vulnerabilidad en Internet Explorer 6.0 Service Pack 1, Internet Explorer 7 e Internet Explorer 8. Esta vulnerabilidad puede ser explotada por una página Web maliciosa y permite ejecutar el mismo código con privilegios de usuario.

Esta vulnerabilidad fue utilizada en los ataques dirigidos contra Google Inc. y otras compañías en la República Popular de China. Microsoft no tiene constancia hasta ahora de un mayor uso de esta vulnerabilidad en el Internet.

Microsoft está trabajando en el desarrollo de una solución para el problema de estar disponible tan pronto como sea posible, incluyendo la posibilidad de divulgarla fuera de la fecha normal (el segundo martes de cada mes). Hasta el momento las siguientes medidas de protección se pueden tomar:

■ El modo protegido - En Windows Vista y Windows 7 de Internet Explorer por defecto funciona en modo protegido (modo protegido) a sitios de Internet, lo que mitiga el riesgo de explotación de esta vulnerabilidad. Microsoft recomienda que siempre se puede utilizar el modo protegido para navegar por Internet.

Si el modo protegido no está activado para sitios de Internet, puede activarlo, abra el menú Herramientas y, a continuación, seleccione el menú Opciones de Internet. Modo protegido se puede activar en la pestaña de Seguridad, en la siguiente imagen:

■ Prevención de ejecución de datos - Además de utilizar siempre el modo protegido para navegar por Internet, Internet Explorer 7 los usuarios son alentados para que el Data Execution Prevention (DEP), lo que hace más difícil la ejecución de un ataque contra esta vulnerabilidad. El DEP está habilitada de forma predeterminada en Internet Explorer 8.

Para habilitar DEP en Internet Explorer 7, haga clic en el botón Fix it a continuación. Corregir el problema para el trabajo que debe ejecutar Internet Explorer como administrador (en Vista, haga clic derecho y seleccione Ejecutar como administrador), a continuación, reinicie Internet Explorer para el DEP está efectivamente habilitada.

■ No Admin User - Para limitar el impacto de la vulnerabilidad, navegar por Internet con una cuenta de usuario que no sea el administrador del sistema.

Este blog se actualizará a medida que nueva información esté disponible.

Actualización (15/01/2009) - Los informes de SANS . que el código fuente de un exploit para la vulnerabilidad se divulgó en Internet Esta hazaña sólo afecta a Internet Explorer 6. Las nuevas versiones de Internet Explorer tienen mecanismos de protección, tales como el modo protegido y DEP que hacen que la explotación de la vulnerabilidad más difícil.