0Day en Internet Explorer

Fecha de publicación:

05/12/2014

Importancia:

4 - Alta

Recursos afectados:

Microsoft Internet Explorer
Microsoft Outlook
Microsoft Outlook Express
Windows Mail

Descripción:

Se ha hecho pública una vulnerabilidad en Internet Explorer que permitiría ejecución de código utilizando hojas de estilo (CSS) con el estilo "display: run-in" y ciertas manipulaciones.

Esta vulnerabilidad puede ser explotada visitando sitios web maliciosos.

Solución:

Al tratarse de un 0Day, todavía no existe parche disponible, por lo que se recomiendan las siguientes acciones:

Configurar la Zona de seguridad de Internet Explorer en "Alta" para bloquear controles y scripts ActiveX
Deshabilitar Active scripting en la Zona de seguridad
Instalar EMET para mitigar posibles ataques

Detalle:

Se trata una vulnerabilidad de uso después de liberación (user-after-free) que aprovecha la forma en que Internet Explorer cuenta las referencias a los objetos en memoria que representan elementos HTML (CElement objects), forzando que el contador llegue a cero antes de tiempo y logrando que los objetos en memoria sean liberados, pero sigan siendo utilizados.

Referencias:

(0Day) Microsoft Internet Explorer display:run-in Use-After-Free Remote Code Execution Vulnerability

Etiquetas:

Accesos corporativos

0Day en Internet Explorer

Múltiples vulnerabilidades en Spectrum Protect Plus de IBM

Escalada de privilegios en Apache Traffic Server

Múltiples vulnerabilidades en productos F5

Vulnerabilidad de escalada de privilegios en WebSphere Application Server de IBM

Múltiples vulnerabilidades en Jenkins