← volver
CVE-2013-3918

CVE-2013-3918

CVSS 8.8 HIGHEPSS 73.9%● KEVCWE-787
En resumen

Un defecto en el control ActiveX InformationCardSigninHelper de Windows permite a atacantes ejecutar código malicioso cuando un usuario visita una página web especialmente diseñada en Internet Explorer. Este control fue explotado en ataques reales en noviembre de 2013.

Detalle técnico

Vulnerabilidad de escritura fuera de límites en el control ActiveX InformationCardSigninHelper (icardie.dll), explotable mediante contenido HTML malicioso entregado a través de Internet Explorer. Requiere que el usuario visite la página comprometida; resulta en ejecución de código arbitrario con privilegios del usuario o denegación de servicio.

Resumen generado y traducido por IA a partir de la descripción oficial.
The InformationCardSigninHelper Class ActiveX control in icardie.dll in Microsoft Windows XP SP2 and SP3, Windows Server 2003 SP2, Windows Vista SP2, Windows Server 2008 SP2 and R2 SP1, Windows 7 SP1, Windows 8, Windows 8.1, Windows Server 2012 Gold and R2, and Windows RT Gold and 8.1 allows remote attackers to execute arbitrary code or cause a denial of service (out-of-bounds write) via a crafted web page that is accessed by Internet Explorer, as exploited in the wild in November 2013, aka "InformationCardSigninHelper Vulnerability."
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Productos afectados
n/a · n/a
PoCs públicas encontradas1
exploitdbwww.exploit-db.com/exploits/29857no verificado
⚠ Recursos públicos, para evaluar la exposición de sistemas que controlas o estás autorizado a probar. Prueba solo con autorización.

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →
Referencias
http://blogs.technet.com/b/msrc/archive/2013/11/11/activex-control-issue-being-addressed-in-update-tuesday.aspxhttps://docs.microsoft.com/en-us/security-updates/securitybulletins/2013/ms13-090https://isc.sans.edu/forums/diary/16985https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.oval%3Adef%3A19089https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2013-3918https://www.microsoft.com/en-us/msrc/blog/2013/11/technical-details-of-the-targeted-attack-using-ie-vulnerability-cve-2013-3918/http://www.darkreading.com/vulnerability/new-ie-vulnerability-found-in-the-wild-s/240163814/http://www.fireeye.com/blog/technical/2013/11/new-ie-zero-day-found-in-watering-hole-attack.htmlhttp://www.us-cert.gov/ncas/alerts/TA13-317A