6 de diciembre de 2014

0DAY. Afecta a Internet Explorer

 Se ha hecho pública una vulnerabilidad en Internet Explorer que permitiría ejecución de código utilizando hojas de estilo (CSS) con el estilo "display: run-in" y ciertas manipulaciones. Esta vulnerabilidad puede ser explotada visitando sitios web maliciosos y ha sido catalogada de Importancia: 4 - Alta
Recursos afectados
·         Microsoft Internet Explorer
·         Microsoft Outlook
·         Microsoft Outlook Express
·         Windows Mail
Recomendación
 Al tratarse de un 0Day, todavía no existe parche disponible, por lo que se recomiendan las siguientes acciones:
·  Configurar la Zona de seguridad de Internet Explorer en "Alta" para bloquear controles y scripts ActiveX
·         Deshabilitar Active scripting en la Zona de seguridad
·         Instalar EMET para mitigar posibles ataques
Detalle e Impacto de la vulnerabilidad
  • Se trata una vulnerabilidad de uso después de liberación (user-after-free) que aprovecha la forma en que Internet Explorer cuenta las referencias a los objetos en memoria que representan elementos HTML (CElement objects), forzando que el contador llegue a cero antes de tiempo y logrando que los objetos en memoria sean liberados, pero sigan siendo utilizados.
Más información
Fuente: INCIBE