Se le acumulan los problemas a Microsoft. Cuando aun seguimos a la espera de los parches para dos vulnerabilidades conocidas, Google ha dado a conocer una grave vulnerabilidad en los navegadores Internet Explorer y en Edge.

La vulnerabilidad, con CVE-2017-0037, reside en un error de confusión de tipos en HandleColumnBreakOnColumnSpanningElement() cuando se carga código html específicamente manipulado. El fallo podría permitir la ejecución remota de código arbitrario.

El pasado 25 de noviembre Ivan Fratric del equipo de Project Zero Google comunicó el problema a Microsoft. Y como es habitual, siguiendo su política de publicación 90 días después de su reporte a la firma responsable se hace público de forma automática.

Mientras tanto, y tras retrasar la publicación de actualizaciones este mes de febrero, seguimos a la espera del próximo 14 de marzo para que Microsoft ofrezca los necesarios parches. Cabe recordar que esta vulnerabilidad viene a sumarse a otras dos públicamente conocidas y aun sin parchear. El fallo en el tratamiento de tráfico SMB que puede permitir provocar denegaciones de servicio y el reportado también por Project Zero, por una lectura fuera de límites en gdi32.dll (con CVE-2017-0038).

Más información:

Microsoft Edge and IE: Type confusion in HandleColumnBreakOnColumnSpanningElement

https://bugs.chromium.org/p/project-zero/issues/detail?id=1011

una-al-dia (22/02/2017) Microsoft publica actualización, pero solo para Flash

http://unaaldia.hispasec.com/2017/02/microsoft-publica-actualizacion-pero.html

una-al-dia (17/02/2017) Microsoft retrasa sus parches de febrero hasta el 14 de marzo

http://unaaldia.hispasec.com/2017/02/microsoft-retrasa-sus-parches-de.html

Antonio Ropero

[email protected]

Twitter: @aropero