viernes, 28 de diciembre de 2012

Ejecución de código arbitrario en Microsoft Internet Explorer 6, 7 y 8


Microsoft ha confirmado una vulnerabilidad 0day que afecta al navegador Internet Explorer 6, 7 y 8 (las versiones 9 y 10 no se ven afectadas).

El problema, al que se la que se le ha asignado el CVE-2012-4792, reside en uso de un puntero después de liberar que permite la ejecución de código arbitrario con los privilegios que se encuentre el usuario. Esta vulnerabilidad puede permitir la elevación de privilegios y el compromiso de la totalidad del sistema.

Se han detectado ataques que explotan esta vulnerabilidad, como es el caso de la web http://www.cfr.org/ comprometida esta semana , también se ha publicado un exploit en el framework Metasploit.

Hasta el momento, Microsoft no aporta solución aunque sí que es posible que lo haga en el próximo boletín, según el propio aviso:
"On completion of this investigation, Microsoft will take the appropriate action to protect our customers, which may include providing a solution through our monthly security update release process, or an out-of-cycle security update, depending on customer needs."

Más información:

Microsoft Security Advisory (2794220)

CFR Watering Hole Attack Details



Fernando Castillo