4 nuevas vulnerabilidades 0day para Internet Explorer

El gigante de las computadoras HP ha presentado cuatro vulnerabilidades en Internet Explorer que podrían permitir a un atacante en el peor de los casos, puede tomar el control completo del ordenado y de momento no hay disponible ninguna actualización por parte de Microsoft

Las vulnerabilidades fueron recolectados como parte de la Iniciativa Día Cero de HP. A través de esta iniciativa, HP premiará investigadores para informar de las vulnerabilidades desconocidas.

 Una de las vulnerabilidades fue durante el concurso Pwn2Own móvil demostrado y noviembre del año pasado informó HP para Microsoft. HP tiene una política predeterminada de revelar una vulnerabilidad después de 90 días. Sin embargo, Microsoft dijo que necesitaba más tiempo para resolver el problema. Sin embargo, la fecha que marcó como fecha límite Microsoft no se cumplió por el gigante del software. Entonces HP decidió publicar la vulnerabilidad. Es en este caso de una fuga en todas las versiones de Internet Explorer, incluyendo Windows Phone.

(0Day) (Mobile Pwn2Own) Microsoft Internet Explorer 

• http://www.zerodayinitiative.com/advisories/ZDI-15-359/

Para atacar a un usuario tendría que visitar un sitio web malicioso y ver un anuncio o abrir un archivo malicioso. Entonces los permisos y derechos del usuario permiten ejecución código arbitrario,
  
Las otras tres vulnerabilidades fueron reportadas en enero y tienen el mismo impacto. Microsoft volvió a pedir más tiempo para resolver los problemas y una vez más el plazo no se cumplió, por lo que estas tres vulnerabilidades se harán pública. Los detalles exactos de HP, sin embargo, no se han dado.

• http://www.zerodayinitiative.com/advisories/ZDI-15-360/
• http://www.zerodayinitiative.com/advisories/ZDI-15-361/ 
• http://www.zerodayinitiative.com/advisories/ZDI-15-362/

Los usuarios que deseen protegerse se les aconseja en Internet Explorer no ejecutar secuencias de comandos ActiveX  o secuencias de comandos ActiveX en Internet y zona de seguridad Intranet local debe estar deshabilitado.

Actualización 24 de julio de 2015: Microsoft ha revelado que las vulnerabilidades reportadas por ZDI ya se han arreglado en los boletines MS14-037 el 8 de julio, 2015 y MS15-018 el 10 de marzo de 2015, por lo que se puede utilizar con seguridad de Internet Explorer si el equipo está totalmente al día. 

Microsoft Security Bulletin MS14-037 - Critical 
Microsoft Security Bulletin MS15-018 - Critical

• https://technet.microsoft.com/en-us/library/security/ms14-037.aspx
• https://technet.microsoft.com/en-us/library/security/ms15-018.aspx