CVE-2013-2551
CVE-2013-2551
En resumen
Internet Explorer versiones 6-10 tienen una falla donde el navegador accede a memoria que ya ha sido liberada, permitiendo que atacantes ejecuten código malicioso a través de un sitio especialmente diseñado. Esto ocurre porque el navegador no rastrea adecuadamente cuándo se elimina un objeto.
Detalle técnico
Vulnerabilidad use-after-free en el motor MSHTML afectando IE 6-10; un atacante remoto puede crear HTML/JavaScript que desencadene la desreferencia de objetos en memoria liberada, resultando en ejecución de código en el contexto del navegador. Requiere que el usuario visite el sitio malicioso; sin necesidad de autenticación o interacción adicional.
Resumen generado y traducido por IA a partir de la descripción oficial.
Use-after-free vulnerability in Microsoft Internet Explorer 6 through 10 allows remote attackers to execute arbitrary code via a crafted web site that triggers access to a deleted object, as demonstrated by VUPEN during a Pwn2Own competition at CanSecWest 2013, aka "Internet Explorer Use After Free Vulnerability," a different vulnerability than CVE-2013-1308 and CVE-2013-1309.
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Productos afectados
n/a · n/aPoCs públicas encontradas — 1
exploitdbwww.exploit-db.com/exploits/26175no verificado⚠ Recursos públicos, para evaluar la exposición de sistemas que controlas o estás autorizado a probar. Prueba solo con autorización.
¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →Referencias
http://h30499.www3.hp.com/t5/HP-Security-Research-Blog/Pwn2Own-2013/ba-p/5981157https://docs.microsoft.com/en-us/security-updates/securitybulletins/2013/ms13-037https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.oval%3Adef%3A16317https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2013-2551http://twitter.com/thezdi/statuses/309452625173176320http://twitter.com/VUPEN/statuses/309479075385327617http://www.us-cert.gov/ncas/alerts/TA13-134A