← voltar
CVE-2014-0322

CVE-2014-0322

CVSS 8.8 HIGHEPSS 85.2%● KEVCWE-416
Em resumo

Internet Explorer 9 e 10 possuem uma falha onde memória liberada pode ser reutilizada, permitindo que hackers executem código malicioso através de JavaScript especialmente preparado. Esse ataque foi usado por criminosos no início de 2014.

Detalhe técnico

Vulnerabilidade use-after-free na implementação de CMarkup do IE 9/10 acionada por JavaScript malformado que explora o evento onpropertychange em elementos script. O vetor de ataque é remoto (página web maliciosa), requer que o usuário visite o site; o impacto é execução de código arbitrário no contexto do navegador.

Resumo gerado e traduzido por IA a partir da descrição oficial.
Use-after-free vulnerability in Microsoft Internet Explorer 9 and 10 allows remote attackers to execute arbitrary code via vectors involving crafted JavaScript code, CMarkup, and the onpropertychange attribute of a script element, as exploited in the wild in January and February 2014.
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Produtos afetados
n/a · n/a
PoCs públicas encontradas4
cve_referencewww.exploit-db.com/exploits/32851não verificadocve_referencewww.exploit-db.com/exploits/32904não verificadoexploitdbwww.exploit-db.com/exploits/32904não verificadoexploitdbwww.exploit-db.com/exploits/32851não verificado
⚠ Recursos públicos, para você avaliar a exposição de sistemas que controla ou está autorizado a testar. Teste apenas com autorização.

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →
Referências
http://community.websense.com/blogs/securitylabs/archive/2014/02/13/msie-0-day-exploit-cve-2014-0322-possibly-targeting-french-aerospace-organization.aspxhttps://docs.microsoft.com/en-us/security-updates/securitybulletins/2014/ms14-012https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2014-0322https://www.dropbox.com/s/pyxjgycmudirbqe/CVE-2014-0322.ziphttp://technet.microsoft.com/security/advisory/2934088http://twitter.com/nanoc0re/statuses/434251658344673281http://www.exploit-db.com/exploits/32851http://www.exploit-db.com/exploits/32904http://www.fireeye.com/blog/technical/cyber-exploits/2014/02/new-ie-zero-day-found-in-watering-hole-attack-2.htmlhttp://www.fireeye.com/blog/uncategorized/2014/02/operation-snowman-deputydog-actor-compromises-us-veterans-of-foreign-wars-website.htmlhttp://www.kb.cert.org/vuls/id/732479http://www.osvdb.org/103354