0Day en Internet Explorer
Fecha de publicación:
05/12/2014
Importancia:
4 -
Alta
Recursos afectados:
- Microsoft Internet Explorer
- Microsoft Outlook
- Microsoft Outlook Express
- Windows Mail
Descripción:
Se ha hecho pública una vulnerabilidad en Internet Explorer que permitiría ejecución de código utilizando hojas de estilo (CSS) con el estilo "display: run-in" y ciertas manipulaciones.
Esta vulnerabilidad puede ser explotada visitando sitios web maliciosos.
Solución:
Al tratarse de un 0Day, todavía no existe parche disponible, por lo que se recomiendan las siguientes acciones:
- Configurar la Zona de seguridad de Internet Explorer en "Alta" para bloquear controles y scripts ActiveX
- Deshabilitar Active scripting en la Zona de seguridad
- Instalar EMET para mitigar posibles ataques
Detalle:
Se trata una vulnerabilidad de uso después de liberación (user-after-free) que aprovecha la forma en que Internet Explorer cuenta las referencias a los objetos en memoria que representan elementos HTML (CElement objects), forzando que el contador llegue a cero antes de tiempo y logrando que los objetos en memoria sean liberados, pero sigan siendo utilizados.
Referencias:
Etiquetas: