Controlado desde el
19/10/97 por NedStat
|
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro
visitante número desde
el 12 de agosto de 1996
Fallos en el último parche de Microsoft
|
|
VSantivirus No. 586 - Año 6 - Miércoles 13 de febrero de 2002
Fallos en el último parche de Microsoft
http://www.vsantivirus.com/13-02-02a.htm
Por Jose Luis Lopez
videosoft@videosoft.net.uy
Según informa la publicación Newsbytes, y de acuerdo a numerosas pruebas realizadas, el último parche acumulativo de Microsoft (ver VSA # 585, Parche crítico para 6 vulnerabilidades (MS02-005)
http://www.vsantivirus.com/vulms02-005.htm), liberado esta semana, y que supuestamente soluciona seis fallas críticas en la seguridad del Internet Explorer, en realidad deja al sistema más vulnerable.
Según publica Newsbytes, las pruebas realizadas por su laboratorio, y la información de otros investigadores independientes, revelan que al menos dos de las seis vulnerabilidades que dice corregir, son cerradas parcialmente y además no corrige una de las fallas más peligrosas, la que permite a un atacante malicioso, ejecutar en forma remota, programas en la computadora de la víctima (incluidos obviamente troyanos, virus, etc.).
Esta peligrosa falla, conocida como "IE Pop-Up OBJECT Tag Bug", fue reportada a Microsoft el pasado mes de enero por un investigador conocido como ThePull.
La demostración que ThePull aún mantiene en su sitio, continúa funcionando perfectamente, aún después de la actualización q316059, nombre del parche recomendado como crítica por Microsoft en su boletín MS02-005.
El agujero, permite a cualquier sitio malicioso o escritor de virus a través de un correo electrónico en formato HTML, ejecutar cualquier programa existente en el disco duro de la víctima. Combinar esto con la descarga de un código viral, para luego ejecutarlo, puede resultar hasta trivial, y es extraño no exista un gusano que se aproveche de esto aún.
Otra de las fallas que el parche dice corregir, conocida técnicamente como "Frame Domain Verification Variant via Document.Open function", no funciona con todas las variantes conocidas de este exploit (recordemos que esta falla es parte del problema que permitía tomar el control del MSN Messenger de otro usuario, secuestrando su cuenta, como se explica en VSA #584, Vulnerabilidad en IE trae problemas al
Messenger http://www.vsantivirus.com/11-02-02.htm).
Aunque Microsoft asegura en su boletín, que el parche elimina todas las variantes conocidas, Newsbytes ha comprobado que aún hay archivos que pueden ser enviados desde la computadora de la víctima, a la del atacante.
ThePull notificó esta falla en diciembre de 2001 a Microsoft.
Por otra parte, la falla en el componente XMLHTTP del Internet Explorer 6, solo ha sido corregida bajo Windows 2000, mientras los sistemas basados en Windows 98 y Me siguen siendo vulnerables.
Recordemos que el parche estuvo listo el pasado jueves, pero fue sacado del sitio de Microsoft apenas dos horas después, aludiendo fallas en el empaquetado, no en el parche en si mismo. La compañía insistió que aquellos que habían bajado el parche en esa oportunidad y lo habían podido instalar sin dificultades, no tenían porque volver a hacerlo, ya que la falla solo causaba problemas en el desempaquetado del parche, impidiendo su instalación.
La duda que esto nos deja (no es la primera vez que ocurre en los últimos meses), es si estos fallos de parches que no funcionan como deberían, pueda ser consecuencia directa de la presión que Microsoft está recibiendo por la constante divulgación de fallas, y la premura por solucionarlas.
De cualquier modo, no hay respuesta oficial de Microsoft aún.
Relacionados:
VSantivirus No. 585 - 12/feb/02
Parche crítico para 6 vulnerabilidades (MS02-005)
http://www.vsantivirus.com/vulms02-005.htm
Boletín MS02-005 de Microsoft
http://www.microsoft.com/technet/security/bulletin/MS02-005.asp
Sitio de ThePull con las demostraciones de las fallas
http://www.osioniusx.com
Newsbytes
http://www.newsbytes.com
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|
|