CSIRTCV

Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

09/12/2014

Vulnerabilitat en Internet Explorer existent des de fa 6 mesos

Zero Day Initiative ha publicat un avís per una vulnerabilitat que podria permetre a atacants remots executar codi arbitrari en Internet Explorer.

Risc: Mitjà

Segons l’avís de ZDI es requerix la interacció de l’usuari per a explotar la vulnerabilitat de tal forma que l’usuari ha de visitar una pàgina maliciosa o obrir un arxiu específicament manipulat. L’avís no especifica les versions afectades del navegador.

La vulnerabilitat residix en la forma en què Internet Explorer gestiona en memòria la vida dels objectes que representen els elements HTML (objectes CElement). Si s’aplica a una pàgina un estil CSS amb display:run-in i es realitzen determinades manipulacions, un atacant podrà provocar que el compte de referències d’objecte caiga a zero abans d’hora, la qual cosa provoca que l’objecte siga alliberat. Internet Explorer continuarà usant este objecte després d’haver sigut alliberat. Un atacant podrà aprofitar esta vulnerabilitat per a aconseguir l’execució de codi arbitrari.

ZDI va reportar a Microsoft este problema el passat 3 de juny. El 19 de novembre ZDI va informar Microsoft que procediria a la publicació de la informació, a l’haver transcorregut més de 180 dies des de l’anunci a la companyia, complint d’esta manera la política de divulgació d’informació de la pròpia ZDI (actualment el límit està en 120 dies).

Sistemes Afectats:

Internet Explorer.

Referències:

CVE-2014-8967

Solució:

La recomanació passa per l’ús de comptes d’usuari, zones de seguretat, preguntar abans d’executar Active Scripting o desactivar Active Scripting i la instal·lació d’EMET 5.1 (Enhanced Mitigation Experience Toolkit).

Esta ferramenta combat les tècniques d’evasió de DEP i ASLR i altres mètodes de “exploiting” coneguts. EMET és un programa de Microsoft gratuït (només disponible en anglés), senzill de manejar i de gran utilitat.

No està confirmat si entre les actualitzacions de seguretat que Microsoft publicarà dimarts s’inclourà una solució per a esta vulnerabilitat.

Notes:

Hispasec

Más información:
(0Day) Microsoft Internet Explorer display:run-in Use-After-Free Remote Code Execution Vulnerability

http://zerodayinitiative.com/advisories/ZDI-14-403/

Font: Hispasec una-al-día

CSIRT-CV