Kaspersky Threats

Descripción

Se han encontrado múltiples vulnerabilidades graves en Microsoft Edge, Microsoft Internet Explorer 9 a 11. Los usuarios malintencionados pueden aprovechar estas vulnerabilidades para ejecutar código arbitrario, obtener privilegios, eludir las restricciones de seguridad y la interfaz de usuario fraudulenta.

A continuación hay una lista completa de vulnerabilidades:

Un manejo inadecuado del contenido mixto en Microsoft Internet Explorer se puede explotar de forma remota a través de un sitio web malicioso o a través de un correo electrónico que contiene un archivo * .url especialmente diseñado para eludir las restricciones de seguridad;
Un manejo inadecuado de un acceso a objetos en la memoria en Microsoft Edge se puede explotar de forma remota a través de un sitio web especialmente diseñado para ejecutar código arbitrario;
Las vulnerabilidades múltiples en JavaScript Engine, que están relacionadas con el manejo de un acceso a los objetos en la memoria en Microsoft Internet Explorer se pueden explotar de forma remota a través de un sitio web especialmente diseñado para ejecutar código arbitrario;
Múltiples vulnerabilidades relacionadas con un manejo incorrecto de objetos en motores JavaScript hechos durante la renderización pueden ser explotados remotamente a través de sitios web especialmente diseñados y documentos de Microsoft o un control ActiveX incorporado marcado como "seguro para la inicialización" para ejecutar código arbitrario;
Un manejo inadecuado de contenido mixto en Microsoft Internet Explorer se puede explotar remotamente a través de un sitio web especialmente diseñado para ejecutar código arbitrario;
Múltiples vulnerabilidades relacionadas con un manejo incorrecto de objetos en memoria hecho por Microsoft scripting engines de Microsoft Edge pueden ser explotados remotamente a través de sitios web especialmente diseñados y documentos de Microsoft o un control ActiveX incorporado marcado como "seguro para inicialización" para ejecutar código arbitrario;
Un análisis incorrecto de HTML y una forma incorrecta de renderizar el filtro SmartScreen pueden explotarse remotamente a través de una URL especialmente diseñada para suplantar la interfaz del usuario;
Un manejo incorrecto de sandboxing en Microsoft Edge se puede explotar de forma remota para escapar del entorno limitado de AppContainer y obtener privilegios;
Varias vulnerabilidades en Chakra JavaScript Engine pueden ser explotadas remotamente a través de sitios web especialmente diseñados y documentos de Microsoft o un control ActiveX incorporado marcado como "seguro para la inicialización" para ejecutar código arbitrario;
Un manejo inadecuado de objetos en la memoria en JavaScript Engine se puede explotar remotamente a través de sitios web especialmente diseñados y documentos de Microsoft o un control ActiveX incorporado marcado como "seguro para la inicialización" ejecuta código arbitrario;
Una representación incorrecta de una página sin dominio en la URL en Microsoft Edge se puede explotar de forma remota convenciendo a un usuario de que visite una página web especialmente diseñada para obtener privilegios y realizar acciones en el contexto de la Zona de Intranet y acceder a algunas funciones del navegador, que no están disponibles mientras navegas en el contexto de la Zona de Internet.

Detalles técnicos

La vulnerabilidad (1) permite cargar contenido HTTP, que no es seguro, a las ubicaciones HTTS, que son seguras.

Las vulnerabilidades (9) en Chakra JavaScript Engine están relacionadas con la representación en Microsoft Edge.

Para explotar todas las vulnerabilidades descritas anteriormente a través de una página web especialmente diseñada, un usuario malintencionado debería convencer de alguna manera al usuario para que la visite.

Notas informativas originales

Lista CVE

Lista KB

Leer más

Conozca las estadísticas de las vulnerabilidades que se propagan en su región statistics.securelist.com

¿Has encontrado algún error en la descripción de esta vulnerabilidad? ¡Háznoslo saber!