Se ha hecho
pública una vulnerabilidad en Internet Explorer que permitiría ejecución de
código utilizando hojas de estilo (CSS) con el estilo "display:
run-in" y ciertas manipulaciones. Esta vulnerabilidad puede ser explotada
visitando sitios web maliciosos y ha sido catalogada de Importancia: 4 - Alta
Recursos afectados
·
Microsoft
Internet Explorer
·
Microsoft
Outlook
·
Microsoft
Outlook Express
·
Windows Mail
Recomendación
Al tratarse de
un 0Day, todavía no existe parche disponible, por lo que se recomiendan las
siguientes acciones:
· Configurar
la Zona de seguridad de Internet Explorer en "Alta" para bloquear
controles y scripts ActiveX
·
Deshabilitar
Active scripting en la Zona de seguridad
·
Instalar
EMET para mitigar posibles ataques
Detalle e Impacto de la
vulnerabilidad
- Se trata una vulnerabilidad de uso después de liberación (user-after-free) que aprovecha la forma en que Internet Explorer cuenta las referencias a los objetos en memoria que representan elementos HTML (CElement objects), forzando que el contador llegue a cero antes de tiempo y logrando que los objetos en memoria sean liberados, pero sigan siendo utilizados.
- (0Day) Microsoft Internet Explorer display:run-in
Use-After-Free Remote Code Execution Vulnerability http://zerodayinitiative.com/advisories/ZDI-14-403/