Microsoft dice: No confien en microsoft!

Un nuevo agujero de seguridad en Internet Explorer e IIS (todavia no puedo entender porque un browser y un server de http comparten codigo). El agujero es un buffer overrun en un control ActiveX. Nada nuevo, la solucion: cuando pasan estas cosas, microsoft lanza un control nuevo y le pone un Kill Bit al anterior, para que no sea usable. El tema es que poniendole un kill bit a este otro, volveria a cientos de miles de sitios inusables

Nuevo problema: como los controles de ActiveX estan firmados criptograficamente por microsoft y la mayoria de los IEs estan configurados para confiar en contenido de microsoft. Entonces, cualquier persona puede armar una pagina que reintroduzca el control ActiveX vulnerable y despues, ejecutar codigo
Solucion: Microsoft le pide a sus usuarios, que no confien en contenido de Microsoft.
Patetico :)

Hay mas informacion en The Register.
En este momento, bugtraq esta caido, pero en un rato, nos enteraremos de como es el exploit.
Me pareceria divertido que alguien use todos estos exploits de IE para patchear los mismos IE: el codigo que ejecuta, que baje los patches nuevos y los instale.
Seria divertido, no? :)