ESTE SERVICIO PUEDE CONTENER TRADUCCIONES DE GOOGLE. GOOGLE NIEGA CUALQUIER RESPONSABILIDAD RELACIONADA CON LAS TRADUCCIONES, EXPRESA O IMPLÍCITA, INCLUYENDO CUALQUIER RESPONSABILIDAD ACERCA DE LA PRECISIÓN, LA CONFIABILIDAD Y CUALQUIER RESPONSABILIDAD IMPLÍCITA DE COMERCIABILIDAD, IDONEIDAD PARA UN PROPÓSITO EN PARTICULAR Y DE NO INFRACCIÓN.

Por su comodidad, se ha traducido el sitio web de Kaspersky Lab utilizando un software de traducción de Google Translate. Se hicieron unos esfuerzos razonables para proporcionar una traducción precisa; no obstante, las traducciones automáticas no son perfectas y no hay ninguna intención de sustituir el trabajo de los traductores. Se proporcionan estas traducciones como un servicio para los usuarios del sitio web de Kaspersky Lab y se han publicado tal "como es". No hay ninguna garantía, expresa o implícita, acerca de la precisión, la confiabilidad o exactitud de cualquier traducción desde el inglés a cualquier otro idioma. La traducción de algunos contenidos (imágenes, videos, Flash, etc) podrían no ser totalmente fiel debido a las limitaciones del software de traducción.

KLA11002
Múltiples vulnerabilidades en Microsoft Edge y Microsoft Internet Explorer
Actualizado: 07/05/2018
Fecha de detección
?
05/09/2017
Nivel de gravedad
?
Crítica
Descripción

Se han encontrado múltiples vulnerabilidades graves en Microsoft Edge, Microsoft Internet Explorer 9 a 11. Los usuarios malintencionados pueden aprovechar estas vulnerabilidades para ejecutar código arbitrario, obtener privilegios, eludir las restricciones de seguridad y la interfaz de usuario fraudulenta.

A continuación hay una lista completa de vulnerabilidades:

  1. Un manejo inadecuado del contenido mixto en Microsoft Internet Explorer se puede explotar de forma remota a través de un sitio web malicioso o a través de un correo electrónico que contiene un archivo * .url especialmente diseñado para eludir las restricciones de seguridad;
  2. Un manejo inadecuado de un acceso a objetos en la memoria en Microsoft Edge se puede explotar de forma remota a través de un sitio web especialmente diseñado para ejecutar código arbitrario;
  3. Las vulnerabilidades múltiples en JavaScript Engine, que están relacionadas con el manejo de un acceso a los objetos en la memoria en Microsoft Internet Explorer se pueden explotar de forma remota a través de un sitio web especialmente diseñado para ejecutar código arbitrario;
  4. Múltiples vulnerabilidades relacionadas con un manejo incorrecto de objetos en motores JavaScript hechos durante la renderización pueden ser explotados remotamente a través de sitios web especialmente diseñados y documentos de Microsoft o un control ActiveX incorporado marcado como "seguro para la inicialización" para ejecutar código arbitrario;
  5. Un manejo inadecuado de contenido mixto en Microsoft Internet Explorer se puede explotar remotamente a través de un sitio web especialmente diseñado para ejecutar código arbitrario;
  6. Múltiples vulnerabilidades relacionadas con un manejo incorrecto de objetos en memoria hecho por Microsoft scripting engines de Microsoft Edge pueden ser explotados remotamente a través de sitios web especialmente diseñados y documentos de Microsoft o un control ActiveX incorporado marcado como "seguro para inicialización" para ejecutar código arbitrario;
  7. Un análisis incorrecto de HTML y una forma incorrecta de renderizar el filtro SmartScreen pueden explotarse remotamente a través de una URL especialmente diseñada para suplantar la interfaz del usuario;
  8. Un manejo incorrecto de sandboxing en Microsoft Edge se puede explotar de forma remota para escapar del entorno limitado de AppContainer y obtener privilegios;
  9. Varias vulnerabilidades en Chakra JavaScript Engine pueden ser explotadas remotamente a través de sitios web especialmente diseñados y documentos de Microsoft o un control ActiveX incorporado marcado como "seguro para la inicialización" para ejecutar código arbitrario;
  10. Un manejo inadecuado de objetos en la memoria en JavaScript Engine se puede explotar remotamente a través de sitios web especialmente diseñados y documentos de Microsoft o un control ActiveX incorporado marcado como "seguro para la inicialización" ejecuta código arbitrario;
  11. Una representación incorrecta de una página sin dominio en la URL en Microsoft Edge se puede explotar de forma remota convenciendo a un usuario de que visite una página web especialmente diseñada para obtener privilegios y realizar acciones en el contexto de la Zona de Intranet y acceder a algunas funciones del navegador, que no están disponibles mientras navegas en el contexto de la Zona de Internet.

Detalles técnicos

La vulnerabilidad (1) permite cargar contenido HTTP, que no es seguro, a las ubicaciones HTTS, que son seguras.

Las vulnerabilidades (9) en Chakra JavaScript Engine están relacionadas con la representación en Microsoft Edge.

Para explotar todas las vulnerabilidades descritas anteriormente a través de una página web especialmente diseñada, un usuario malintencionado debería convencer de alguna manera al usuario para que la visite.

Productos afectados

Microsoft Edge
Microsoft Internet Explorer versiones 9 a 11

Solución

Instale las actualizaciones necesarias de la sección KB, que se enumeran en su Actualización de Windows (normalmente se puede acceder a la Actualización de Windows desde el Panel de control)

Notas informativas originales

CVE-2017-0266
CVE-2017-0241
CVE-2017-0240
CVE-2017-0238
CVE-2017-0236
CVE-2017-0235
CVE-2017-0234
CVE-2017-0233
CVE-2017-0231
CVE-2017-0230
CVE-2017-0229
CVE-2017-0228
CVE-2017-0227
CVE-2017-0226
CVE-2017-0224
CVE-2017-0222
CVE-2017-0221
CVE-2017-0064
CVE-2017-0223

Impactos
?
SUI 
[?]

ACE 
[?]

SB 
[?]

PE 
[?]
Productos relacionados
Microsoft Internet Explorer
Microsoft Edge
CVE-IDS
?

CVE-2017-0266
CVE-2017-0241
CVE-2017-0240
CVE-2017-0238
CVE-2017-0236
CVE-2017-0235
CVE-2017-0234
CVE-2017-0233
CVE-2017-0231
CVE-2017-0230
CVE-2017-0229
CVE-2017-0228
CVE-2017-0227
CVE-2017-0226
CVE-2017-0224
CVE-2017-0222
CVE-2017-0221
CVE-2017-0064

Notas informativas oficiales de Microsoft
CVE-2017-0266
CVE-2017-0241
CVE-2017-0240
CVE-2017-0238
CVE-2017-0236
CVE-2017-0235
CVE-2017-0234
CVE-2017-0233
CVE-2017-0231
CVE-2017-0230
CVE-2017-0229
CVE-2017-0228
CVE-2017-0227
CVE-2017-0226
CVE-2017-0224
CVE-2017-0222
CVE-2017-0221
CVE-2017-0064
CVE-2017-0223
Listado KB

4016871
4019474
4018271
4019215
4019264
4019216
4034668
4034733
4034674
4034681
4034658
4034660


Enlace al original