ZDI informa de vulnerabilidad en Internet Explorer existente desde hace 6 meses

Iniciado por wolfbcn, 8 Diciembre 2014, 21:21 PM

0 Miembros y 1 Visitante están viendo este tema.

wolfbcn

Zero Day Initiative ha publicado un aviso por una vulnerabilidad que podría permitir a atacantes remotos ejecutar código arbitrario en Internet Explorer.

Según el aviso de ZDI se requiere la interacción del usuario para explotar la vulnerabilidad de tal forma que el usuario debe visitar una página maliciosa o abrir un archivo específicamente manipulado. El aviso no especifica las versiones afectadas del navegador.

La vulnerabilidad (con CVE-2014-8967) reside en la forma en que Internet Explorer gestiona en memoria la vida de los objetos que representan los elementos HTML (objetos CElement). Si se aplica a una página un estilo CSS con display:run-in y se realizan determinadas manipulaciones un atacante podrá provocar que la cuenta de referencias de objeto caiga a cero antes de tiempo, lo que provoca que el objeto sea liberado. Internet Explorer continuará usando este objeto después de haber sido liberado. Un atacante podrá aprovechar esta vulnerabilidad para lograr la ejecución de código arbitrario.

LEER MAS: http://unaaldia.hispasec.com/2014/12/zdi-informa-de-vulnerabilidad-en.html
La mayoria pedimos consejo cuando sabemos la respuesta, pero queremos que nos den otra.