Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

El nuevo Internet Explorer 6 SP1 sigue siendo vulnerable
 
VSantivirus No. 800 - Año 6 - Lunes 16 de setiembre de 2002

El nuevo Internet Explorer 6 SP1 sigue siendo vulnerable
http://www.vsantivirus.com/15-09-02.htm

Por Redacción VSAntivirus
vsantivirus@videosoft.net.uy



A poco tiempo del lanzamiento oficial del Service Pack 1 para Internet Explorer 6 (SP1), circulan en la red afirmaciones de expertos que ponen en duda su efectividad.

Según esta información, aún después de la aplicación del parche, persisten importantes vulnerabilidades, de las más de 300 que dice corregir.

Internet Explorer 6 fue lanzado en octubre de 2001 junto a Windows XP, y existen varios parches acumulativos para diversas fallas, pero esta es la primera actualización completa, denominada Service Pack, que además, claro está, acumula todos los arreglos anteriores.

Algunas afirmaciones son bastante pesimistas. Según Thor Larholm, de una compañía consultora de seguridad con sede en California, Internet Explorer 6 "sigue estando abierto de par en par a cualquier persona".

Para Larholm y para muchos otros investigadores, existen aún vulnerabilidades que permiten que un atacante utilice las facilidades implementadas por Microsoft para su provecho, tomando el control o apropiándose de datos privados, eludiendo todas las reglas de seguridad o restricciones que se quieran asignar.

Esto es debido principalmente a las características de lo que Microsoft llama "Dynamic HTML Object Model", que permite una total interacción entre ventanas, cajas de diálogo y páginas Web con marcos.

Otra de las fallas más importantes que aún permanecen, es la relacionada con el "cross-frame scripting", que básicamente habilita el intercambio de información entre diferentes partes de una página Web.

Un atacante utilizando JavaScript, puede usar esto último para modificar la dirección desplegada en algunos sub-marcos, haciéndolos apuntar a otros scripts que a su vez pueden obtener la información proporcionada por los cookies y otros archivos que contengan información personal del usuario atacado.

Esto es lo que afirma la compañía de seguridad israelí, GreyMagic, quien anteriormente ha descubierto otras importantes fallas en varios productos, no solo de Microsoft.

Debido a la integración de otras aplicaciones de Microsoft con su navegador, estas fallas pueden explotarse tanto desde el correo electrónico, como desde documentos de Office, pudiéndose obtener el control o la información de estos productos desde páginas Web.

Aunque muchas de las fallas no son realmente graves o sencillas de implementar, el problema para GreyMagic, es que la mayoría de ellas pueden combinarse con "devastadoras consecuencias".

Un ejemplo del uso combinado de estas fallas puede encontrarse en un aviso de seguridad publicado ya hace más de un año en el sitio dedicado a la seguridad, Malware.com.

Básicamente, se puede ejecutar cualquier software en la computadora atacada, con la única condición de tener instalados Internet Explorer y Windows Media Player, también de Microsoft. Este último es el reproductor multimedia instalado por defecto en las versiones de Windows Me y posteriores.

También es posible de ese modo acceder a cualquier documento en forma remota, todo ello sin la intervención del usuario, y claro está, sin despertar sus sospechas.

Al ser consultado Microsoft por estas afirmaciones, un portavoz oficial de la compañía aseguró que sus técnicos creen firmemente estar actuando "con el mejor interés hacia sus clientes", y que los expertos de seguridad de Microsoft, "a menudo llegan a diferentes conclusiones respecto a la viabilidad técnica de los posibles ataques identificados por terceros".

Por otra parte, y a pesar de las críticas afirmaciones, empresas como GreyMagic recomiendan instalar el SP1 del Internet Explorer 6.

En principio, las vulnerabilidades descriptas como críticas, también existen en Internet Explorer 5.0 y 5.5, pero otras han sido solucionadas en este "gran parche acumulativo", además de implementar varias mejoras.

También es importante tener en cuenta que algunas de las fallas críticas sobre las que los expertos nos advierten, no son exclusivas del IE. Muchas de ellas existen también en navegadores como Netscape, Opera y Konqueror, aunque casi nadie ha escrito "exploits" para ellos (o son poco conocidos), por la sencilla razón de que el uso de estos programas es mucho menor.


Referencias:

Nuevo SP para IE 6.0 y Windows XP
http://www.vsantivirus.com/winxp-sp1.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
 

Copyright 1996-2002 Video Soft BBS