Inicio / Alerta Temprana / Avisos Seguridad / Nueva 0 day en Internet Explorer

Nueva 0 day en Internet Explorer

Fecha de publicación: 
18/02/2014
Importancia: 
5 - Crítica
Recursos afectados: 
  • Internet Explorer 9
  • Internet Explorer 10
Descripción: 

Descubierta nueva vulnerabilidad en Internet Explorer que podría permitir a atacantes remotos ejecutar código arbitrario a través de vectores relacionados con código JavaScript manipulado.

Solución: 

Se recomienda realizar alguno de los siguientes pasos:

  1. Actualizar a una versión posterior de Internet Explorer.
  2. Descargar e instalar el Kit de herramientas de Experiencia de mitigación mejorada.
  3. Seguir los pasos que se indican en el siguiente enlace para instalar el parche correspondiente.
Detalle: 

Los investigadores de seguridad de FireEye han descubierto una nueva 0 Day en Internet Explorer 9 y 10. La vulnerabilidad, CVE-2014-0322, está siendo utilizada en un ataque «Watering Hole» desde el sitio web de U.S. Veterans of Foreign Wars (www[.]vfw[.]org).

El sitio web, previamente infectado, tiene agregado un iFrame de manera que se carga una página web maliciosa en segundo plano. Dicha página carga un objeto Flash que es el responsable de la explotación de la vulnerabilidad, la cual permite modificar un byte de memoria en una dirección arbitraria y así saltarse las medidas de seguridad contra exploits ASLR y DEP.

Este hecho provoca que cuando un usuario accede a la misma es víctima de un «drive-by download», descargando un payload y ejecutándose en la máquina de la víctima.