Se le acumulan los problemas a
Microsoft. Cuando aun seguimos a la espera de los parches para dos
vulnerabilidades conocidas, Google ha dado a
conocer una grave vulnerabilidad en
los navegadores Internet Explorer y en Edge.
La
vulnerabilidad, con CVE-2017-0037, reside en un error de confusión de tipos en HandleColumnBreakOnColumnSpanningElement()
cuando se carga código html específicamente manipulado. El fallo podría permitir la ejecución remota de
código arbitrario.
El pasado 25 de noviembre Ivan
Fratric del equipo de Project Zero Google comunicó el problema a Microsoft. Y
como es habitual, siguiendo su política de publicación 90 días después de su
reporte a la firma responsable se hace público de forma automática.
Mientras tanto, y tras retrasar
la publicación de actualizaciones este mes de febrero, seguimos a la espera del
próximo 14 de marzo para que Microsoft ofrezca los necesarios parches. Cabe
recordar que esta vulnerabilidad viene a sumarse a otras dos públicamente
conocidas y aun sin parchear. El fallo en el tratamiento de tráfico SMB que
puede permitir provocar denegaciones de servicio y el reportado también por
Project Zero, por una lectura fuera de límites en gdi32.dll (con
CVE-2017-0038).
Más información:
Microsoft
Edge and IE: Type confusion in HandleColumnBreakOnColumnSpanningElement
una-al-dia (22/02/2017) Microsoft publica actualización,
pero solo para Flash
una-al-dia (17/02/2017) Microsoft retrasa sus parches de
febrero hasta el 14 de marzo
Antonio Ropero
Twitter: @aropero
No hay comentarios:
Publicar un comentario