Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Nuevas vulnerabilidades en IE (MS01-027)
 
VSantivirus No. 324 - Año 5 - Lunes 28 de mayo de 2001

Nuevas vulnerabilidades en IE (MS01-027)
Por Alejandro Germán Rodriguez (*)

Microsoft ha emitido una nueva alerta de seguridad mediante su boletín MS01-027 por el cual se advierte de dos nuevas fallas en su navegador Internet Explorer en las versiones 5.1 y 5.5 y dos nuevas variantes de una vulnerabilidad ya conocida.

La falla afectaría la forma en que IE actúa con los controles de certificados cuando la opción "comprobar la revocación de certificados del servidor" se encuentra habilitada.

Cuando visitamos un sitio web, IE realiza una serie de controles sobre los certificados del sitio, tales como la fecha de expiración, el nombre del servidor y los antecedentes del emisor.

Si la configuración antes mencionada estuviera habilitada (se encuentra deshabilitada por defecto), algunos de los controles no sería llevado a cabo con la consiguiente afectación sobre la seguridad. De esta manera podríamos ser inducidos a considerar a un sitio seguro cuando no lo es.

Si se encuentra deshabilitada no nos encontraremos afectados y los eventuales controles se realizaran en forma adecuada, en caso contrario deberemos instalar el parche de seguridad discutido aquí.

La segunda vulnerabilidad se refiere a la posibilidad de engañar a un navegante haciéndolo creer que se encuentra en un sitio web seguro cuando en realidad se encuentra en uno falso, con la consiguiente posibilidad de obtener información confidencial, como ser passwords, números de tarjetas de crédito, etc.

Se lograría hacer aparecer una URL falsa en la barra de direcciones y hasta podría lograrse dar la apariencia de una sesión segura SSL.

Un factor mitigante importante en las dos vulnerabilidades discutidas hasta aquí es que el navegante deberá dirigirse al sitio web malicioso por engaño y bajo ningún concepto podrá ser obligado a visitarlas.

Asimismo, se detectaron dos variante de la vulnerabilidad "Frame Domain Verification", en esencia, esta vulnerabilidad permitía a un operador de un sitio web malicioso abrir una ventana web en la maquina de un visitante pudiendo abrir cualquier archivo que pueda ser visto en una ventana de navegador, (.htm .txt o .gif, etc.) pero no agregar o borrar información.

Cabe mencionar que esta vulnerabilidad ha tenido múltiples variantes, todas solucionadas por parches ya emitidos.

Una de las nuevas variantes solo afecta a IE en sistemas que corran Windows 2000, el nuevo parche contempla todas las variantes conocidas para "Frame Domain Verification".

Más información:
http://www.microsoft.com/technet/security/bulletin/MS01-027.asp

Parches para download:

Internet Explorer 5.01
http://www.microsoft.com/windows/ie/download/critical/q295106/default.asp 

Internet Explorer 5.5
http://www.microsoft.com/windows/ie/download/critical/q299618/default.asp


(*) Alejandro Germán Rodriguez
Peligros_en_la_red-owner@onelist.com
http://es.egroups.com/group/Peligros_en_la_red
ICQ # 44796626 		 

Copyright 1996-2001 Video Soft BBS