ALERTA:   Internet Explorer - Fallo en memoria al procesar objetos CSS

27-11-2009                                                CA-AL-16-1109
 

PROBLEMA:

Un atacante remoto podría ejecutar código arbitrario con los privilegios del usuario que corra Internet Explorer con solo visitar una página especialmente manipulada. El fallo está en memoria con el manejo de punteros en el método "getElementsByTagName" del Microsoft HTML Viewer(mshtml.dll) al procesar objetos CSS/STYLE.

VERSIONES AFECTADAS:

Para todas las plataformas de ejecución de Internet Explorer de versiones 6 y 7.
 

SOLUCIÓN:

Elevar la seguridad de las zonas de Internet Explorer a "Alta" para las páginas no confiables, o desactivar directamente el "Active Scripting" en las "Opciones de Internet", pestaña de "seguridad", "nivel personalizado".

VALORACIÓN DEL IMPACTO:       ALTO

REFERENCIAS:

MICROSOFT: http://www.microsoft.com/technet/security/advisory/977981.mspx
HISPASEC: http://www.hispasec.com/unaaldia/4049
VUPEN: http://www.vupen.com/english/advisories/2009/3301