Vulnerabilidad de ZERO DAY en navegadores Microsoft

El equipo Project Zero, dedicado a la investigación sobre seguridad de Google, hizo publico un descubrimiento sobre una seria vulnerabilidad en zero day que basicamente afecta a los dos navegadores de Microsoft, Internet Explorer 11 y Edge. Según las declaraciones de Ivan Fratric, el ingeniero que realizo el hallazgo, el fallo de seguridad permite a los atacantes bloquear el software de navegación y ejecutar código malicioso en varios casos. Desde Project Zero aseguran que el fallo de seguridad de Internet Explorer 11 y Microsoft Edge resulta muy fácil de explotar, y ha sido posible hacerlo con una prueba de concepto de solo 17 líneas de código HTML, con un enfoque de dos variables rcx y rax. Fratric explica que esto permite a un atacante ejecutar de manera remota un código arbitrario para bloquear y controlar los navegadores, con algunas limitaciones.

Es preciso explicar que el origen de este fallo se debe a lo que se conoce como un» bug» de confusión de tipos, que fue descubierta el pasado 25 de noviembre, momento en el que Fratric reportó el fallo a Microsoft. Sin embargo, el problema no se ha hecho público hasta hace poco, ya que según la política de Google debe existir un margen de 90 días desde el momento en que se informa de un fallo de manera privada hasta que se revelan los detalles del error. Los de Redmond todavía no han resuelto el problema, y, teniendo en cuenta que además han cancelado el Patch Tuesday del mes de febrero, significa que la vulnerabilidad quedará sin parchear de momento, aunque no es seguro que sea así.

Ahora, para todos aquellos usuarios de los navegadores Microsoft se dio un aviso desde MSPowerUser donde indican que es posible reducir los riesgos del fallo de seguridad ejecutando Internet Explorer o Edge como un usuario de privilegios limitados. Para ejecutarlos de esta manera, en primer lugar se debe crear una cuenta de administrador en el computador (Panel de Control>Cuentas de Usuario> Registrar un nombre y contraseña de usuario como administrador)  después de esto se usa la cuenta recién creada para degradar la cuenta habitual y pasarla a una de privilegios limitados.