elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Usando Git para manipular el directorio de trabajo, el índice y commits (segunda parte)


+  Foro de elhacker.net
|-+  Foros Generales
| |-+  Foro Libre
| | |-+  Noticias (Moderadores: wolfbcn, El_Andaluz)
| | | |-+  Project Zero alerta sobre una nueva vulnerabilidad zero day en Internet Explorer
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Project Zero alerta sobre una nueva vulnerabilidad zero day en Internet Explorer  (Leído 1,418 veces)
wolfbcn
Moderador
***
Desconectado Desconectado

Mensajes: 53.663



Ver Perfil WWW
Project Zero alerta sobre una nueva vulnerabilidad zero day en Internet Explorer
« en: 27 Febrero 2017, 18:42 pm »

Google ha vuelto al ataque para asestarle un golpe a Microsoft. El equipo dedicado a la seguridad de la Gran G, Project Zero, ha publicado una nueva Vulnerabilidad zero day que afecta a Internet Explorer y Microsoft Edge. Este agujero se podría aprovechar para dos propósitos: "tirar" los navegadores o realizar ataques por ejecución arbitraria de código.

El bug, que explota una confusión de tipos en HandleColumnBreakOnColumnSpanningElement, fue descubierto el 25 de noviembre de 2016 y se hizo público el pasado día 23 de febrero. ¿Por qué se tardó tanto? Porque Project Zero siempre da 90 días de plazo para hacer públicos sus descubrimientos, de forma que a la empresa le de tiempo de parchearlos. Cuando no lo hacen, entonces se les "avergüenza" públicamente.

No es nuestro cometido determinar si Microsoft se lo merece o no, pero lo que no se puede rebatir es que, según MSPowerUser, la empresa de Redmond ha cancelado el Patch Tuesday de este mes, con lo que deja a sus usuarios con, al menos, dos vulnerabilidades conocidas que se pueden explotar y que no ha corregido. Vale la pena recordar que no es la primera vez que Google le hace algo así a Microsoft.

La vulnerabilidad es fácil de explotar según los investigadores, siendo la prueba de concepto 17 líneas de HTML, enfocadas en dos variables, rcx y rax. En el post de Project Zero podemos leer que un natacante "puede afectar a rax modificando las propiedades de la tabla como el espaciado entre bordes o la anchura del primer elemento". O sea, que el atacante sólo tiene que apuntar rax a módulos de memoria controlados por él.

Si usas Microsoft Edge o Internet Explorer, lo que puedes hacer para mitigar el fallo es utilizarlos como un usuario de privilegios limitados. Para ello tendrías que crear una nueva cuenta de administrador en tu PC (en _Panel de control > Cuentas de usuario > Cuentas de usuario) y asegurarte de que te sabes su nombre de usuario y contraseña de memoria. Después usa dicha cuenta para convertir la tuya principal en una más limitada en el mismo lugar.

Vía | Project Zero, MSPowerUser

https://www.genbeta.com/seguridad/project-zero-alerta-sobre-una-nueva-vulnerabilidad-zero-day-en-internet-explorer-y-edge


En línea

La mayoria pedimos consejo cuando sabemos la respuesta, pero queremos que nos den otra.
Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines