Según el aviso de ZDI se requiere
la interacción del usuario para explotar la vulnerabilidad de tal forma que el
usuario debe visitar una página maliciosa o abrir un archivo específicamente
manipulado. El aviso no
especifica las versiones afectadas del navegador
La
vulnerabilidad (con
CVE-2014-8967)
reside en la forma en que Internet Explorer gestiona en memoria la vida de los
objetos que representan los elementos HTML (objetos CElement). Si se aplica a
una página un estilo CSS con display:run-in y se realizan determinadas manipulaciones
un atacante podrá provocar que la cuenta de referencias de objeto caiga a cero
antes de tiempo, lo que provoca que el objeto sea liberado. Internet Explorer
continuará usando este objeto después de haber sido liberado. Un atacante podrá
aprovechar esta
vulnerabilidad para lograr la ejecución de código arbitrario.
ZDI reportó a Microsoft este
problema el pasado 3 de junio. El 19 de noviembre ZDI informó a Microsoft que
iba a proceder a la publicación de la información, al haber transcurrido más de
180 días desde el anuncio a la compañía. Cumpliendo de esta forma la política
de divulgación de información de la propia ZDI (actualmente el límite está en
120 días).
La recomendación pasa por el uso
de cuentas de usuario, zonas de seguridad, Preguntar antes de ejecutar Active
Scripting o desactivar Active Scripting y la
instalación
de EMET 5.1 (Enhanced Mitigation Experience Toolkit). Esta herramienta
combate las técnicas de evasión de DEP y ASLR y otros métodos de
"exploiting" conocidos. EMET es un programa de Microsoft gratuito,
(solo disponible en lenguaje ingles) sencillo de manejar y de gran utilidad. No
está confirmado si entre las actualizaciones de seguridad que Microsoft publicará
el próximo martes se incluirá una solución para esta
vulnerabilidad.
Más información:
(0Day) Microsoft Internet Explorer
display:run-in Use-After-Free Remote Code Execution Vulnerability
una-al-dia (16/11/2014) Microsoft
publica EMET 5.1
una-al-dia (5/12/2014) Microsoft
publicará siete boletines de seguridad el próximo martes
Antonio Ropero
