0Day en Internet Explorer

Fecha de publicación:

05/12/2014

Importancia:

4 - Alta

Recursos afectados:

Microsoft Internet Explorer
Microsoft Outlook
Microsoft Outlook Express
Windows Mail

Descripción:

Se ha hecho pública una vulnerabilidad en Internet Explorer que permitiría ejecución de código utilizando hojas de estilo (CSS) con el estilo "display: run-in" y ciertas manipulaciones.

Esta vulnerabilidad puede ser explotada visitando sitios web maliciosos.

Solución:

Al tratarse de un 0Day, todavía no existe parche disponible, por lo que se recomiendan las siguientes acciones:

Configurar la Zona de seguridad de Internet Explorer en "Alta" para bloquear controles y scripts ActiveX
Deshabilitar Active scripting en la Zona de seguridad
Instalar EMET para mitigar posibles ataques

Detalle:

Se trata una vulnerabilidad de uso después de liberación (user-after-free) que aprovecha la forma en que Internet Explorer cuenta las referencias a los objetos en memoria que representan elementos HTML (CElement objects), forzando que el contador llegue a cero antes de tiempo y logrando que los objetos en memoria sean liberados, pero sigan siendo utilizados.

Referencias:

(0Day) Microsoft Internet Explorer display:run-in Use-After-Free Remote Code Execution Vulnerability

Etiquetas:

Accesos corporativos

0Day en Internet Explorer

Múltiples vulnerabilidades en productos de Intel

Vulnerabilidad en Citrix Hypervisor

Actualización de seguridad de SAP de agosto de 2022

Múltiples vulnerabilidades en VMware vRealize Operations

Actualizaciones de seguridad de Microsoft de agosto de 2022