CVE-2013-3897
CVE-2013-3897
Em resumo
O Internet Explorer tem um erro onde tenta usar memória que já foi liberada, permitindo que atacantes executem código malicioso ou façam o navegador falhar através de JavaScript especialmente criado. Essa falha foi explorada em ataques reais em 2013.
Detalhe técnico
Vulnerabilidade use-after-free na classe CDisplayPointer do mshtml.dll, explorável através de JavaScript manipulado que utiliza o manipulador de eventos onpropertychange; afeta IE 6–11 e permite execução arbitrária de código ou negação de serviço por corrupção de memória.
Resumo gerado e traduzido por IA a partir da descrição oficial.
Use-after-free vulnerability in the CDisplayPointer class in mshtml.dll in Microsoft Internet Explorer 6 through 11 allows remote attackers to execute arbitrary code or cause a denial of service (memory corruption) via crafted JavaScript code that uses the onpropertychange event handler, as exploited in the wild in September and October 2013, aka "Internet Explorer Memory Corruption Vulnerability."
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Produtos afetados
n/a · n/aPoCs públicas encontradas — 1
exploitdbwww.exploit-db.com/exploits/28974não verificado⚠ Recursos públicos, para você avaliar a exposição de sistemas que controla ou está autorizado a testar. Teste apenas com autorização.
Quer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →Referências
http://blogs.technet.com/b/srd/archive/2013/10/08/ms13-080-addresses-two-vulnerabilities-under-limited-targeted-attacks.aspxhttps://docs.microsoft.com/en-us/security-updates/securitybulletins/2013/ms13-080https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.oval%3Adef%3A18989https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2013-3897http://www.us-cert.gov/ncas/alerts/TA13-288A