Dos tercios de las vulnerabilidades corregidas esta semana en IE11 y Edge posiblemente existen en los ya descontinuados IE7 e IE8; y definitivamente en los casi obsoletos IE9 e IE10.
Internet Explorer
Esta semana Microsoft cumplió su promesa de 2014 y retuvo actualizaciones de seguridad para los usuarios con las versiones viejas del navegador de la empresa, Internet Explorer (IE).
Todos los usuarios de Windows que aún utilizan IE7 o IE8 y aquellos que usan IE9 en cualquier versión de Windows que no sea Vista, así como aquellos con IE10 en un sistema que no sea Windows Server 2012, no recibieron los parches que Microsoft distribuyó el martes a los sistemas con los navegadores más recientes, IE11 o Edge.
Como es su costumbre, Microsoft emitió una única actualización acumulativa para IE el 9 de febrero. Esta actualización, catalogada como MS16-009, incluyó correcciones para 13 vulnerabilidades.
Aunque Microsoft no especificó qué correcciones no fueron enviadas a las versiones obsoletas de IE, no fue difícil precisarlas.
De las 13 vulnerabilidades parchadas por MS16-009, nueve afectaban a todas las versiones de IE aún soportadas, incluyendo IE9 en Windows Vista e IE10 en Windows Server 2012. Debido a que diferentes versiones del navegador de Microsoft comparten grandes cantidades de código (la cual fue una de las razones principales por la que la empresa de Redmond ha terminado de tajo con IE y comenzado de nuevo con Edge) es casi seguro que las nueve vulnerabilidades también existan en IE7 e IE8, y en IE9 e IE10 en las versiones de Windows no aptas para el parche.
En otras palabras, más de dos tercios de las vulnerabilidades parchadas por Microsoft el martes probablemente existan en las versiones retiradas de IE.
El peligro con las vulnerabilidades conocidas pero sin corregir es significativo: los cibercriminales revisan regularmente las actualizaciones y comparan el código antes y después para determinar lo que ha cambiado. Utilizan esa información para investigar más en un intento de aplicar ingeniería inversa en el parche para encontrar la vulnerabilidad subyacente. Una vez que la falla ha sido identificada, diseñan un exploit para atacar con éxito el software sin corregir, sabiendo que no todos actualizan inmediatamente.
En este caso, la vulnerabilidad encontrada en IE9 para Vista, que fue corregida esta semana, podría ayudarlos a entender la ubicación de la falla en IE8. A partir de allí, pueden crear un exploit para el navegador sin parche.
Los cibercriminales tendrán motivaciones para hacer este trabajo, por lo menos temporalmente, debido a que un gran número de usuarios alrededor del mundo siguen ejecutando estas versiones, ahora obsoletas. De acuerdo con información del proveedor de analítica, Net Applications, alrededor de un tercio de aquellos usuarios que ejecutaron IE el mes pasado utilizaron una versión que ya no recibe actualizaciones de seguridad.
Microsoft declaró el retiro de IE7 e IE8 y el retiro parcial de IE9 e IE10 en agosto del 2014, cuando le notificó a sus clientes que debían actualizar a la versión más reciente del navegador disponible para sus sistemas operativos a más tardar el 12 de enero de 2016. Para muchos usuarios, la versión más reciente es IE11.
Ver informacion original al respecto en Fuente:
http://www.seguridad.unam.mx/noticia/?noti=2747
Ver información de Microsoft:
https://www.microsoft.com/es-es/WindowsForBusiness/End-of-IE-support
MORALEJA: INSTALAR IE 11 Y ACTUALIZARLO CON LOS INDICADOS PARCHES, SI SU SISTEMA LO PERMITE, O USAR OTRO NAVEGADOR COMO CRHOME O FIREFOX (ACTUALIZADOS, CLARO), para no caer en manos de los hackers e infectarse con malwares existentes en la Red.
SATINFO, SERVICIO DE ASISTENCIA TÉCNICA INFORMATICA 18 de Febrero de 2016