Múltiples vulnerabilidades en Microsoft Edge y Microsoft Internet Explorer

Descripción

Se han encontrado múltiples vulnerabilidades graves en Microsoft Edge y Microsoft Internet Explorer. Los usuarios malintencionados pueden aprovechar estas vulnerabilidades para eludir las restricciones de seguridad, ejecutar código arbitrario y falsificar la interfaz de usuario.

A continuación hay una lista completa de vulnerabilidades:

1. Un manejo inadecuado de las solicitudes de redireccionamiento en los navegadores de Microsoft se puede explotar de forma remota a través de un sitio web especialmente diseñado para eludir las restricciones de seguridad;
2. Un acceso incorrecto a objetos en la memoria en Internet Explorer se puede explotar remotamente a través de un sitio web especialmente diseñado para ejecutar código arbitrario;
3. Un manejo incorrecto de los objetos en la memoria en Microsoft Edge se puede explotar de forma remota a través de un sitio web especialmente diseñado para ejecutar código arbitrario;
4. Una aplicación incorrecta de Same Origin Policy para elementos HTML presentes en otras ventanas del navegador en Microsoft Edge puede explotarse de manera remota al convencer a un usuario para cargar una página o visitar un sitio web para eludir las restricciones de seguridad;
5. Un manejo incorrecto de los objetos en la memoria en el motor de JavaScript de Chakra en Microsoft Edge se puede explotar de forma remota a través de un sitio web especialmente diseñado para ejecutar código arbitrario;
6. Un análisis incorrecto del contenido HTTP en los navegadores de Microsoft se puede explotar de forma remota al convencer al usuario de que haga clic en una URL especialmente diseñada para suplantar la interfaz de usuario;
7. Múltiples vulnerabilidades relacionadas con el manejo incorrecto de objetos en memoria en JavaScript en navegadores de Microsoft pueden ser explotados remotamente a través de un sitio web especialmente diseñado, documento de Microsoft Office que aloja el motor de representación del navegador o control ActiveX incorporado marcado como "seguro para inicialización" en una aplicación para ejecutar código arbitrario;
8. Múltiples vulnerabilidades relacionadas con el manejo incorrecto de objetos en la memoria en el motor VBScript en Microsoft Internet Explorer pueden explotarse de forma remota a través de un sitio web especialmente diseñado, documento de Microsoft Office que aloja el motor de representación del navegador o control ActiveX integrado marcado como "seguro para inicialización" en una aplicación ejecutar código arbitrario.

---

Detalles técnicos

La vulnerabilidad (7), (8) está relacionada con la representación en motores de JavaScript.

Notas informativas originales

• CVE-2017-8592

• CVE-2017-8594
• CVE-2017-8595
• CVE-2017-8596
• CVE-2017-8598
• CVE-2017-8599
• CVE-2017-8601
• CVE-2017-8602
• CVE-2017-8603
• CVE-2017-8604
• CVE-2017-8605
• CVE-2017-8606
• CVE-2017-8607
• CVE-2017-8608
• CVE-2017-8609
• CVE-2017-8610
• CVE-2017-8611
• CVE-2017-8617
• CVE-2017-8618
• CVE-2017-8619

Lista CVE

Lista KB

• 4025252
• 4025331
• 4025336
• 4025338
• 4025339
• 4025341
• 4025342
• 4025344
• 4038781
• 4038782
• 4038788
• 4038783

Leer más

Conozca las estadísticas de las vulnerabilidades que se propagan en su región statistics.securelist.com