ESTE SERVICIO PUEDE CONTENER TRADUCCIONES DE GOOGLE. GOOGLE NIEGA CUALQUIER RESPONSABILIDAD RELACIONADA CON LAS TRADUCCIONES, EXPRESA O IMPLÍCITA, INCLUYENDO CUALQUIER RESPONSABILIDAD ACERCA DE LA PRECISIÓN, LA CONFIABILIDAD Y CUALQUIER RESPONSABILIDAD IMPLÍCITA DE COMERCIABILIDAD, IDONEIDAD PARA UN PROPÓSITO EN PARTICULAR Y DE NO INFRACCIÓN.

Por su comodidad, se ha traducido el sitio web de Kaspersky Lab utilizando un software de traducción de Google Translate. Se hicieron unos esfuerzos razonables para proporcionar una traducción precisa; no obstante, las traducciones automáticas no son perfectas y no hay ninguna intención de sustituir el trabajo de los traductores. Se proporcionan estas traducciones como un servicio para los usuarios del sitio web de Kaspersky Lab y se han publicado tal "como es". No hay ninguna garantía, expresa o implícita, acerca de la precisión, la confiabilidad o exactitud de cualquier traducción desde el inglés a cualquier otro idioma. La traducción de algunos contenidos (imágenes, videos, Flash, etc) podrían no ser totalmente fiel debido a las limitaciones del software de traducción.

KLA11070
Múltiples vulnerabilidades en Microsoft Edge y Microsoft Internet Explorer
Actualizado: 07/05/2018
Fecha de detección
?
07/11/2017
Nivel de gravedad
?
Crítica
Descripción

Se han encontrado múltiples vulnerabilidades graves en Microsoft Edge y Microsoft Internet Explorer. Los usuarios malintencionados pueden aprovechar estas vulnerabilidades para eludir las restricciones de seguridad, ejecutar código arbitrario y falsificar la interfaz de usuario.

A continuación hay una lista completa de vulnerabilidades:

  1. Un manejo inadecuado de las solicitudes de redireccionamiento en los navegadores de Microsoft se puede explotar de forma remota a través de un sitio web especialmente diseñado para eludir las restricciones de seguridad;
  2. Un acceso incorrecto a objetos en la memoria en Internet Explorer se puede explotar remotamente a través de un sitio web especialmente diseñado para ejecutar código arbitrario;
  3. Un manejo incorrecto de los objetos en la memoria en Microsoft Edge se puede explotar de forma remota a través de un sitio web especialmente diseñado para ejecutar código arbitrario;
  4. Una aplicación incorrecta de Same Origin Policy para elementos HTML presentes en otras ventanas del navegador en Microsoft Edge puede explotarse de manera remota al convencer a un usuario para cargar una página o visitar un sitio web para eludir las restricciones de seguridad;
  5. Un manejo incorrecto de los objetos en la memoria en el motor de JavaScript de Chakra en Microsoft Edge se puede explotar de forma remota a través de un sitio web especialmente diseñado para ejecutar código arbitrario;
  6. Un análisis incorrecto del contenido HTTP en los navegadores de Microsoft se puede explotar de forma remota al convencer al usuario de que haga clic en una URL especialmente diseñada para suplantar la interfaz de usuario;
  7. Múltiples vulnerabilidades relacionadas con el manejo incorrecto de objetos en memoria en JavaScript en navegadores de Microsoft pueden ser explotados remotamente a través de un sitio web especialmente diseñado, documento de Microsoft Office que aloja el motor de representación del navegador o control ActiveX incorporado marcado como "seguro para inicialización" en una aplicación para ejecutar código arbitrario;
  8. Múltiples vulnerabilidades relacionadas con el manejo incorrecto de objetos en la memoria en el motor VBScript en Microsoft Internet Explorer pueden explotarse de forma remota a través de un sitio web especialmente diseñado, documento de Microsoft Office que aloja el motor de representación del navegador o control ActiveX integrado marcado como "seguro para inicialización" en una aplicación ejecutar código arbitrario.

Detalles técnicos

La vulnerabilidad (7), (8) está relacionada con la representación en motores de JavaScript.

Productos afectados

Internet Explorer 9
Internet Explorer 10
Internet Explorer 11
Microsoft Edge
Microsoft Windows 10
Paquete de servicio de Microsoft Windows 7 1
Microsoft Windows 8.1
Microsoft Windows RT 8.1
Paquete de servicio 2 de Microsoft Windows Server 2008
Paquete de servicio de Microsoft Windows Server 2008 R2
Microsoft Windows Server 2012
Microsoft Windows Server 2012 R2
Microsoft Windows Server 2016

Solución

Instale las actualizaciones necesarias de la sección KB, que se enumeran en su Actualización de Windows (normalmente se puede acceder a la Actualización de Windows desde el Panel de control)

Notas informativas originales

CVE-2017-8592
CVE-2017-8594
CVE-2017-8595
CVE-2017-8596
CVE-2017-8598
CVE-2017-8599
CVE-2017-8601
CVE-2017-8602
CVE-2017-8603
CVE-2017-8604
CVE-2017-8605
CVE-2017-8606
CVE-2017-8607
CVE-2017-8608
CVE-2017-8609
CVE-2017-8610
CVE-2017-8611
CVE-2017-8617
CVE-2017-8618
CVE-2017-8619

Impactos
?
SUI 
[?]

ACE 
[?]

SB 
[?]
Productos relacionados
Windows RT
Microsoft Windows Server 2012
Microsoft Windows Server 2008
Microsoft Windows 8
Microsoft Windows 7
Microsoft Windows 10
Microsoft VBScript engine
Microsoft Internet Explorer
Microsoft Edge
CVE-IDS
?

CVE-2017-8619
CVE-2017-8618
CVE-2017-8617
CVE-2017-8611
CVE-2017-8610
CVE-2017-8609
CVE-2017-8608
CVE-2017-8607
CVE-2017-8606
CVE-2017-8605
CVE-2017-8604
CVE-2017-8603
CVE-2017-8602
CVE-2017-8601
CVE-2017-8599
CVE-2017-8598
CVE-2017-8596
CVE-2017-8595
CVE-2017-8594
CVE-2017-8592

Notas informativas oficiales de Microsoft
CVE-2017-8592
CVE-2017-8594
CVE-2017-8595
CVE-2017-8596
CVE-2017-8598
CVE-2017-8599
CVE-2017-8601
CVE-2017-8602
CVE-2017-8603
CVE-2017-8604
CVE-2017-8605
CVE-2017-8606
CVE-2017-8607
CVE-2017-8608
CVE-2017-8609
CVE-2017-8610
CVE-2017-8611
CVE-2017-8617
CVE-2017-8618
CVE-2017-8619
Listado KB

4025252
4025331
4025336
4025338
4025339
4025341
4025342
4025344
4038781
4038782
4038788
4038783


Enlace al original