9VSA-00054-001 CSIRT comparte actualizaciones para Internet Explorer

Resumen

El Equipo de Respuesta ante Incidentes de Seguridad Informática, CSIRT, comparte la información entregada por Microsoft referente a una vulnerabilidad que afecta a Internet Explorer.

Vulnerabilidad

CVE-2019-1367

Impacto

Existe una vulnerabilidad de ejecución remota de código en la forma en que el motor de secuencias de comandos maneja los objetos en la memoria en Internet Explorer. La vulnerabilidad podría corromper la memoria de tal manera que un atacante podría ejecutar código arbitrario en el contexto del usuario actual. Un atacante que aprovechara la vulnerabilidad con éxito podría obtener los mismos derechos de usuario que el usuario actual. Si el usuario actual ha iniciado sesión con derechos de usuario administrativos, un atacante que haya explotado con éxito la vulnerabilidad podría tomar el control de un sistema afectado. Un atacante podría instalar programas; ver, cambiar o eliminar datos; o crear nuevas cuentas con plenos derechos de usuario.

En un escenario de ataque basado en la web, un atacante podría alojar un sitio web especialmente diseñado para aprovechar la vulnerabilidad a través de Internet Explorer y luego convencer a un usuario para que vea el sitio web, por ejemplo, enviando un correo electrónico.

La actualización de seguridad corrige la vulnerabilidad al modificar la forma en que el motor de secuencias de comandos maneja los objetos en la memoria.

Productos Afectados

  • Internet Explorer 9
    • Windows Server 2008 for 32-bit Systems Service Pack 2
    • Windows Server 2008 for x64-based Systems Service Pack 2
  • Internet Explorer 10
    • Windows Server 2012
  • Internet Explorer 11
    • Windows 10 for 32-bit Systems
    • Windows 10 for x64-based Systems
    • Windows 10 Version 1607 for 32-bit Systems
    • Windows 10 Version 1607 for x64-based Systems
    • Windows 10 Version 1703 for 32-bit Systems
    • Windows 10 Version 1703 for x64-based Systems
    • Windows 10 Version 1709 for 32-bit Systems
    • Windows 10 Version 1709 for 64-based Systems
    • Windows 10 Version 1709 for ARM64-based Systems
    • Windows 10 Version 1803 for 32-bit Systems
    • Windows 10 Version 1803 for ARM64-based Systems
    • Windows 10 Version 1803 for x64-based Systems
    • Windows 10 Version 1809 for 32-bit Systems
    • Windows 10 Version 1809 for ARM64-based Systems
    • Windows 10 Version 1809 for x64-based Systems
    • Windows 10 Version 1903 for 32-bit Systems
    • Windows 10 Version 1903 for ARM64-based Systems
    • Windows 10 Version 1903 for x64-based Systems
    • Windows 7 for 32-bit Systems Service Pack 1
    • Windows 7 for x64-based Systems Service Pack 1
    • Windows 8.1 for 32-bit systems
    • Windows 8.1 for x64-based systems
    • Windows Server 2008 R2 for x64-based Systems Service Pack 1
    • Windows Server 2012
    • Windows Server 2012 R2
    • Windows Server 2016
    • Windows Server 2019

Mitigación 

Aplicar las actualizaciones publicadas por el fabricante.

Enlace

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1367

Informe

El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 9VSA-00054-001