0Day en Internet Explorer

Fecha de publicación:

05/12/2014

Importancia:

4 - Alta

Recursos afectados:

Microsoft Internet Explorer
Microsoft Outlook
Microsoft Outlook Express
Windows Mail

Descripción:

Se ha hecho pública una vulnerabilidad en Internet Explorer que permitiría ejecución de código utilizando hojas de estilo (CSS) con el estilo "display: run-in" y ciertas manipulaciones.

Esta vulnerabilidad puede ser explotada visitando sitios web maliciosos.

Solución:

Al tratarse de un 0Day, todavía no existe parche disponible, por lo que se recomiendan las siguientes acciones:

Configurar la Zona de seguridad de Internet Explorer en "Alta" para bloquear controles y scripts ActiveX
Deshabilitar Active scripting en la Zona de seguridad
Instalar EMET para mitigar posibles ataques

Detalle:

Se trata una vulnerabilidad de uso después de liberación (user-after-free) que aprovecha la forma en que Internet Explorer cuenta las referencias a los objetos en memoria que representan elementos HTML (CElement objects), forzando que el contador llegue a cero antes de tiempo y logrando que los objetos en memoria sean liberados, pero sigan siendo utilizados.

Referencias:

(0Day) Microsoft Internet Explorer display:run-in Use-After-Free Remote Code Execution Vulnerability

Etiquetas:

Accesos corporativos

0Day en Internet Explorer

Vulnerabilidad de inyección CSV en UCD de IBM

Vulnerabilidad de denegación de servicio en BIG-IP de F5

Boletín de seguridad de Microsoft de noviembre de 2019

Ejecución remota de código en Cisco ASA y Cisco Firepower (FTD)

Actualización de seguridad de SAP de noviembre de 2019