Internet Explorer

Microsoft publica una alerta por vulnerabilidad 0-day en Internet Explorer

04 de Noviembre de 2010

Microsoft acaba alertar sobre una nueva vulnerabilidad en su navegador y que podría permitir la ejecución remota de código arbitrario

Se anuncian como vulnerables las versiones de Internet Explorer 6, 7 y 8, mientras que la beta de Internet Explorer 9 se libra de este problema. Según reconoce Microsoft en su aviso, en la actualidad la vulnerabilidad se está explotando de forma activa.

El problema reside en que Internet Explorer al procesar determinadas combinaciones de hojas de estilo asigna la memoria de forma incorrecta. Concretamente en el módulo "mshtml.dll" al procesar el atributo "clip" con una posición determinada de las CSS (Cascading Style Sheets). Esto podría permitir a un atacante remoto la ejecución de código arbitrario a través de una página específicamente manipulada.

Microsoft se encuentra desarrollando las actualizaciones necesarias para corregir este problema, mientras tanto como contramedida se recomienda anular las hojas de estilo con una CSS definida por el usuario, asignar las zonas de seguridad del navegador a un nivel Alto, implementar el Enhanced Mitigation Experience Toolkit (EMET) o habilitar Data Execution Prevention (DEP) para Internet Explorer 7.

Más información:

Microsoft Security Advisory (2458511) Vulnerability in Internet Explorer Could Allow Remote Code Execution http://www.microsoft.com/technet/security/advisory/2458511.mspx

Fuente: hispasec.com