Cuatro Vulnerabilidades 0-Day descubiertas en Internet Explorer
El Zero-Day Initiative (ZDI) de Hewlett-Packard's ha dado a conocer cuatro vulnerabilidades de “día cero” en los navegadores web Internet Explorer (para las que no se conoce solución).
Las vulnerabilidades O-Day en Internet Explorer podrían ser explotadas para ejecutar código remoto en las máquinas de las víctimas.
Información General
Importancia: 4 - Alta
Fecha de publicación: 23/07/2015
Recursos Afectados
- Microsoft Internet Explorer
Descripción de las Vulnerabilidades
Las vulnerabilidades fueron comunicadas a Microsoft anteriormente y se hacen públicas pasado el plazo de 120 días fijado por la Zero-Day Initiative (ZDI), Se espera que el gigante del software las parchee en próximos boletines de seguridad.
Las vulnerabilidades afectan a las versiones de Internet Explorer de escritorio y también a la versión móvil que utilizan los smartphones con Windows Mobile. Todas las vulnerabilidades son explotables remotamente a través de típicos ataques drive-by.
- Vulnerabilidad de use-after-free en CTreePos. Esta vulnerabilidad permite ejecución remota de código si se visita una página web maliciosa.
- Vulnerabilidad de use-after-free en CCurrentStyle. Esta vulnerabilidad permite ejecución remota de código si se visita una página web maliciosa.
- Vulnerabilidad de use-after-free en CAttrArray. Esta vulnerabilidad permite ejecución remota de código si se visita una página web maliciosa.
- Acceso a memoria fuera de rango en CTableLayout::AddRow. Esta vulnerabilidad tambien afecta a Windows Phone, y permite ejecución remota de código si se visita una página web maliciosa.
Solución
Todavía no existe una solución para estos problemas.
Actualizaremos este aviso cuando el fabricante haga público el parche.
Mas Información: Zero-Day Initiative – INCIBE
FUENTE: The Hacker News