Inicio / Alerta Temprana / Avisos Seguridad / 0Day en Internet Explorer

0Day en Internet Explorer

Fecha de publicación: 
05/12/2014
Importancia: 
4 - Alta
Recursos afectados: 
  • Microsoft Internet Explorer
  • Microsoft Outlook
  • Microsoft Outlook Express
  • Windows Mail
Descripción: 

Se ha hecho pública una vulnerabilidad en Internet Explorer que permitiría ejecución de código utilizando hojas de estilo (CSS) con el estilo "display: run-in" y ciertas manipulaciones.

Esta vulnerabilidad puede ser explotada visitando sitios web maliciosos.

Solución: 

Al tratarse de un 0Day, todavía no existe parche disponible, por lo que se recomiendan las siguientes acciones:

  • Configurar la Zona de seguridad de Internet Explorer en "Alta" para bloquear controles y scripts ActiveX
  • Deshabilitar Active scripting en la Zona de seguridad
  • Instalar EMET para mitigar posibles ataques
Detalle: 

Se trata una vulnerabilidad de uso después de liberación (user-after-free) que aprovecha la forma en que Internet Explorer cuenta las referencias a los objetos en memoria que representan elementos HTML (CElement objects), forzando que el contador llegue a cero antes de tiempo y logrando que los objetos en memoria sean liberados, pero sigan siendo utilizados.