0Day en Internet Explorer

Fecha de publicación:

05/12/2014

Importancia:

4 - Alta

Recursos afectados:

Microsoft Internet Explorer
Microsoft Outlook
Microsoft Outlook Express
Windows Mail

Descripción:

Se ha hecho pública una vulnerabilidad en Internet Explorer que permitiría ejecución de código utilizando hojas de estilo (CSS) con el estilo "display: run-in" y ciertas manipulaciones.

Esta vulnerabilidad puede ser explotada visitando sitios web maliciosos.

Solución:

Al tratarse de un 0Day, todavía no existe parche disponible, por lo que se recomiendan las siguientes acciones:

Configurar la Zona de seguridad de Internet Explorer en "Alta" para bloquear controles y scripts ActiveX
Deshabilitar Active scripting en la Zona de seguridad
Instalar EMET para mitigar posibles ataques

Detalle:

Se trata una vulnerabilidad de uso después de liberación (user-after-free) que aprovecha la forma en que Internet Explorer cuenta las referencias a los objetos en memoria que representan elementos HTML (CElement objects), forzando que el contador llegue a cero antes de tiempo y logrando que los objetos en memoria sean liberados, pero sigan siendo utilizados.

Referencias:

(0Day) Microsoft Internet Explorer display:run-in Use-After-Free Remote Code Execution Vulnerability

Etiquetas:

Accesos corporativos

0Day en Internet Explorer

Actualizaciones críticas en Oracle (abril 2019)

Múltiples vulnerabilidades de lectura fuera de límites en productos VMware

Múltiples vulnerabilidades en API Connect de IBM

Múltiples vulnerabilidades en dispositivos Juniper

Múltiples vulnerabilidades en BIG-IP de F5