Avisos 11 de November, 2013

Vulnerabilitat 0-day a Microsoft Internet Explorer

S'ha descobert una vulnerabilitat greu a Microsoft Internet Explorer 7, 8 9 i 10 per Windows XP i Windows 7 que podria permetre l'execució de codi arbitrari.

Impacte
 
Elevació de privilegis, execució remota de codi.
 
Productes afectats
 
Microsoft Internet Explorer 7, 8, 9 i 10 per Windows XP i Windows 7
 
Solució
 
Microsoft encara no ha emès encara cap comunicat oficial, però s'espera que en breu desenvolupi una actualització de seguretat.
Mentrestant, els atacs poden ser bloquejats instal•lant l'última versió d'EMET (Enhanced Mitigation Experience Toolkit)
 
Detall 
 
FireEye Labs ha descobert un exploit de dia zero (0-day) que afecta a Microsoft Internet Explorer 7, 8 9 i 10 per Windows XP i Windows 7, consistent en una web maliciosa dels Estats Units que infecta a qualsevol usuari que la visiti. L'exploit aprofita una vulnerabilitat de fuita d'informació i una altra d'accés fora de límits a memòria per executar codi arbitrari.
 
Referències
 
New IE Zero-Day Found in Watering Hole Attack
Operation Ephemeral Hydra: IE Zero-Day Linked to DeputyDog Uses Diskless Method
Publicat a: Avisos