ZDI informa de vulnerabilidad en Internet Explorer existente desde hace 6 meses
Zero Day Initiative ha publicado un aviso por una vulnerabilidad que podría permitir a atacantes remotos ejecutar código arbitrario en Internet Explorer.
Según el aviso de ZDI se requiere la interacción del usuario para explotar la vulnerabilidad de tal forma que el usuario debe visitar una página maliciosa o abrir un archivo específicamente manipulado. El aviso no especifica las versiones afectadas del navegador
La vulnerabilidad (con CVE-2014-8967) reside en la forma en que Internet Explorer gestiona en memoria la vida de los objetos que representan los elementos HTML (objetos CElement). Si se aplica a una página un estilo CSS con display:run-in y se realizan determinadas manipulaciones un atacante podrá provocar que la cuenta de referencias de objeto caiga a cero antes de tiempo, lo que provoca que el objeto sea liberado. Internet Explorer continuará usando este objeto después de haber sido liberado. Un atacante podrá aprovechar esta vulnerabilidad para lograr la ejecución de código arbitrario.
ZDI reportó a Microsoft este problema el pasado 3 de junio. El 19 de noviembre ZDI informó a Microsoft que iba a proceder a la publicación de la información, al haber transcurrido más de 180 días desde el anuncio a la compañía. Cumpliendo de esta forma la política de divulgación de información de la propia ZDI (actualmente el límite está en 120 días).
La recomendación pasa por el uso de cuentas de usuario, zonas de seguridad, Preguntar antes de ejecutar Active Scripting o desactivar Active Scripting y la instalación de EMET 5.1 (Enhanced Mitigation Experience Toolkit). Esta herramienta combate las técnicas de evasión de DEP y ASLR y otros métodos de “exploiting” conocidos. EMET es un programa de Microsoft gratuito, (solo disponible en lenguaje ingles) sencillo de manejar y de gran utilidad. No está confirmado si entre las actualizaciones de seguridad que Microsoft publicará el próximo martes se incluirá una solución para esta vulnerabilidad.
Ver informacion original en Fuente:
http://unaaldia.hispasec.com/2014/12/zdi-informa-de-vulnerabilidad-en.html
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.