Internet Explorer 8: protección de ejecución de datos/NX

Plataformas afectadas

Clientes : Windows XP, Windows Vista, Windows 7
Servidores : Windows Server 2003, Windows Server 2008, Windows Server 2008 R2

Nota

Internet Explorer 8 habilitará la protección DEP/NX cuando se ejecute en un sistema operativo con el Service Pack más reciente. Windows XP SP3, Windows Server 2003 SP3, Windows Vista SP1 y Windows Server 2008 tienen DEP/NX habilitado de forma predeterminada en Internet Explorer 8.

 

Impacto en las características

Gravedad : media
Frecuencia : baja

Nota

Normalmente, cualquier aplicación que se ejecute en Internet Explorer y no sea compatible con DEP/NX se bloqueará en el inicio y no funcionará. Internet Explorer puede bloquearse al iniciarse si se instalan complementos que no son compatibles con DEP/NX.

 

Descripción

DEP/NX es una característica de seguridad que ayuda a mitigar las vulnerabilidades relacionadas con la memoria. A partir de Internet Explorer 8, todos los procesos de Internet Explorer habilitan la característica DEP/NX de forma predeterminada.

Manifestación del impacto

El kernel de Windows supervisa la ejecución de un programa. Si el kernel detecta un intento de ejecutar código desde una página de memoria que no está marcada como ejecutable, el kernel detiene la ejecución del programa, lo que da lugar a un "bloqueo". Se trata de una medida de seguridad que ayuda a garantizar que las vulnerabilidades relacionadas con la memoria (por ejemplo, desbordamientos de búfer) en la aplicación no se pueden aprovechar para ejecutar código arbitrario.

Mitigación de End-User

• Instale una versión posterior del complemento o marco compatible con DEP/NX.
• Ejecute Internet Explorer con privilegios elevados como administrador y, a continuación, deshabilite DEP/NX mediante la casilla Habilitar protección de memoria para ayudar a mitigar los ataques en línea en la pestaña Opciones / avanzadas de Internet.

Solución para desarrolladores

Compile aplicaciones mediante las versiones más recientes de marcos compatibles con DEP.

Aprovechamiento de las funcionalidades de características

• Use la opción del enlazador /NXCOMPAT para indicar la compatibilidad de DEP/NX.
• Opte por el código en otras defensas disponibles, como la defensa de pila (/GS), el control de excepciones seguros (/SafeSEH) y ASLR (/DynamicBase)

Pruebas de compatibilidad, rendimiento, confiabilidad y facilidad de uso

• Pruebe el código con DEP/NX habilitado con la versión más reciente publicada de Internet Explorer en Windows Vista SP1 o posterior.
• Pruebe con Internet Explorer 7 en Windows Vista después de habilitar la opción DEP/NX. Para habilitar DEP/NX para Internet Explorer 7, ejecute Internet Explorer como administrador y, a continuación, establezca la casilla correspondiente en la pestaña Herramientas > Opciones > avanzadas de Internet.
• Ejecute la Herramienta de prueba de compatibilidad de Internet Explorer (IECTT), proporcionada con application Compatibility Toolkit (ACT) para localizar los posibles problemas debido a los cambios de DEP/NX.

Vínculos a otros recursos

• Internet Explorer 8 Security Part I: DEP/NX Memory Protection
• Prevención de ejecución de datos
• Nuevas API de NX agregadas a Windows Vista SP1, Windows XP SP3 y Windows Server 2008 R2
• Descarga del kit de herramientas de compatibilidad de aplicaciones
• Problemas conocidos de características de seguridad de Internet Explorer