Vulnerability Bulletins |
Vulnerabilidad 0-day en Microsoft IE 6, 7 y 8 |
|
Vulnerability classification |
|
Property | Value |
Confidence level | official+tested |
Impact | Obtener acceso |
Dificulty | Avanzado |
Required attacker level | Acceso remoto sin cuenta a un servicio estandar |
System information |
|
Property | Value |
Affected manufacturer | Microsoft |
Affected software |
Microsoft IE 6 Microsoft IE 7 Microsoft IE 8 |
Description |
|
Microsoft ha anunciado en un aviso de seguridad la detección de una vulnerabilidad que afecta a los navegadores Microsoft IE en sus versiones 6, 7 y 8. Esta vulnerabilidad puede provocar una ejecución remota de código, que se debe a la manera en que IE accede a los objetos de tipo CDwnBindInfo en memoria de tipo CDoc que han sido eliminados. Esa liberación de memoria no elimina el puntero relacionado, y esto puede ser utilizado por un atacante para ejecutar una llamada a un espacio inválido de memoria. La vulnerabilidad se está explotando mediante Adobe Flash y Java, con lo que un atacante podría preparar o modificar una web para conseguir que la víctima la visite, y se produzca el ataque. |
|
Solution |
|
Actualmente, Microsoft no ha publicado ningún parche ni actualización para solucionarla, pero recomienda tomar las siguientes medidas hasta entonces: - Desplegar la herramienta EMET que prevee la explotación y no debería de afectar la usabilidad de los sitios web. - Configurar el nivel de seguridad a 'Alto' en las zonas 'Internet' i 'Intranet local', para bloquear los controles ActiveX i el Active Scripting en estas zonas. Los sitios web que se vean afectados en su usabilidad y sean de confianza, habrán de añadirse a la zona 'Lugares de confianza' de Internet Explorer. - Configurar IE para preguntar al usuario cada vez que una web pida ejecutar comandos Active Scripting, o bien desactivar Active Scripting en las zonas 'Internet' y 'Intranet Local'. |
|
Standar resources |
|
Property | Value |
CVE | CVE-2012-4792 |
BID | |
Other resources |
|
Aviso de seguridad Microsoft: http://technet.microsoft.com/en-us/security/advisory/2794220 Microsoft Enhanced Mitigation Experience Toolkit: http://support.microsoft.com/kb/2458544 |
Version history |
||
Version | Comments | Date |
1.0 | Aviso emitido | 2012-12-31 |