Microsoft publicó la semana pasada un boletín de seguridad para alertar al usuario a una falla en Internet Explorer 6, 7 y 8, que permite la ejecución remota de código. En el momento de la advertencia, la falla estaba viendo la explotada de una forma limitada con ataques dirigidos. Esta situación podría cambiar ahora ya que en el blog de AVG se reporta la existencia de un kit para hacer uso de dicha falla de seguridad.
El resultado es que cualquier persona con unos pocos cientos de dólares podría tener acceso a un ataque de día cero al Internet Explorer, abriendo la puerta a un uso generalizada del ataque a este popular navegador. Un código de prueba de concepto ha estado disponible desde la aparición del boletín oficial de Microsoft, pero la inclusión de la vulnerabilidad en el Eleonore exploit kit hace que sea mucho más fácil para los hackers poco cualificados desarrollar exploits monetizable.
A pesar de que hubo reportes que los ataques iniciales fueron bloqueados por contramedidas tales como DEP y por lo tanto no podía ser aprovechado en Internet Explorer 8 en su configuración predeterminada, esto también podría cambiar a medida que la falla se combina con las soluciones DEP. El actual código de prueba de concepto deja como un ejercicio propuesto para el lector la solución a las contramedidas DEP.
Aunque Microsoft es consciente de la falla, un parche para la misma no ha sido incluido en los parches distribuídos por Microsoft el día de hoy martes (9 de noviembre 2010). Hasta el momento, la compañía no ha dicho cuándo un parche para esta vulnerabilidad estaría disponible, aunque la inclusión de un exploit en un kit de herramientas significa que va a estar bajo una presión adicional para liberar un parche en lugar de esperar a principios de diciembre fecha en que tocaría liberar los siguientes parches de los martes.
Una recomendación es que para evitar ser infectado de esta manera sería preferible usar otros navegadores como Firefox, Chrome u Opera.