|
VSantivirus No. 1306 Año 8, martes 3 de febrero de 2004
MS04-004 Actualización acumulativa para IE (832894)
http://www.vsantivirus.com/vulms04-004.htm
Por Redacción VSAntivirus
vsantivirus@videosoft.net.uy
Esta actualización soluciona varias vulnerabilidades que podrían permitir a un usuario malintencionado ejecutar programas en su equipo mientras se visita una página Web o se lee un correo electrónico con formato HTML.
También corrige el fallo que permite mostrar un dominio falso en la barra de direcciones, utilizado últimamente para realizar estafas a usuarios de la banca electrónica y de tarjetas de crédito, entre otros. También quita la posibilidad de utilizar una forma de autenticación que podría comprometer la seguridad del equipo.
La actualización afecta a todos los equipos con Internet Explorer instalado, incluso aunque no se ejecute como explorador de web. Después de instalarla, es posible que deba reiniciar el equipo.
Nivel de gravedad: Crítico
Impacto: Ejecución remota de código, falsificación de URL
Fecha publicación: 2 de febrero de 2004
Reemplaza:
Esta revisión reemplaza a la proporcionada por el boletín de seguridad MS03-048.
MS03-048 Actualización acumulativa para IE (824145)
http://www.vsantivirus.com/vulms03-048.htm
Software afectado:
Microsoft Windows 98
Microsoft Windows 98 Second Edition
Microsoft Windows Millennium Edition
Microsoft Windows NT Workstation 4.0 Service Pack 6a
Microsoft Windows NT Server 4.0 Service Pack 6a
Microsoft Windows NT Server 4.0 Terminal Server Edition, SP6
Microsoft Windows 2000 SP2, SP3, SP4
Microsoft Windows XP, Microsoft Windows XP Service Pack 1
Microsoft Windows XP 64-Bit Edition
Microsoft Windows XP 64-Bit Edition Service Pack 1
Microsoft Windows XP 64-Bit Edition Version 2003
Microsoft Windows Server 2003
Microsoft Windows Server 2003, 64-Bit Edition
Componentes afectados:
Internet Explorer 6 Service Pack 1
Internet Explorer 6 Service Pack 1 (64-Bit Edition)
Internet Explorer 6 para Windows Server 2003
Internet Explorer 6 para Windows Server 2003 (64-Bit Edition)
Internet Explorer 6
Internet Explorer 5.5 Service Pack 2
Internet Explorer 5.01 Service Pack 4
Internet Explorer 5.01 Service Pack 3
Internet Explorer 5.01 Service Pack 2
Estas versiones fueron testeadas y son vulnerables. Otras versiones anteriores no mencionadas, podrían o no ser vulnerables, pero ya no son soportadas por Microsoft.
Descripción
Esta actualización acumulativa para el Internet Explorer, incluye todas las revisiones publicadas anteriormente para Internet Explorer 5.01, 5.5 y 6.0.
Adicionalmente, elimina las siguientes vulnerabilidades:
º Una vulnerabilidad que involucra el modelo de seguridad "cross-domain" del Internet Explorer. Este modelo permite que ventanas con diferentes dominios compartan información. Esta vulnerabilidad puede permitir que se ejecute un script en la zona de seguridad local (Mi PC).
Para explotar este fallo, un atacante puede construir un sitio web malicioso que contenga una página diseñada especialmente. El atacante debe persuadir al usuario para que visite dicha página. También podría hacerlo por medio de un correo electrónico con formato HTML.
Después que el usuario visualiza la página o el correo electrónico malicioso, el atacante puede acceder a información desde otros sitios web, leer archivos locales, y ejecutar programas en el sistema del usuario. Este código se ejecutaría en el mismo contexto de seguridad del usuario actual.
º Una vulnerabilidad que involucra las operaciones de arrastrar y soltar (Drag-and-Drop), durante eventos de HTML dinámicos (DHTML), en el Internet Explorer.
Esta falla podría permitir al atacante subir archivos a una ubicación determinada del sistema de la víctima, por solo pulsar la misma en un enlace malicioso. La falla permite que esto se haga sin que se muestre ningún cuadro de diálogo solicitando la aprobación de la descarga. Para explotar esta falla, el atacante tendría que diseñar un sitio web malicioso conteniendo una página web preparada para explotarla, y luego persuadir al usuario a visitarla. También podría hacerlo por medio de un correo electrónico con formato HTML.
º Una vulnerabilidad relacionada con la incorrecta interpretación de las direcciones URL que contengan ciertos caracteres especiales. Cuando se combina ello con el uso malintencionado de las características de autenticación básica tales como "usuario:contraseña@" al comienzo de un URL, esta vulnerabilidad permite que no se muestre la dirección correcta en la barra de direcciones del Internet Explorer.
Para explotar este fallo, un atacante puede construir un sitio web malicioso que contenga una página especialmente diseñada para explotar la vulnerabilidad. El atacante debe persuadir al usuario para que visite dicha página. También puede hacerlo por medio de un correo electrónico con formato HTML. Si el usuario hace clic sobre el enlace malicioso, la ventana de Internet Explorer se abrirá en la dirección que elija el atacante, pero el usuario verá en la barra de direcciones una dirección falsa. De este modo, se le puede hacer creer que se encuentra en una página segura, para que ingrese datos que serían enviados al atacante.
Otras modificaciones y agregados
Este parche acumulativo cambia también la funcionalidad de autenticación básica en el Internet Explorer. La actualización quita el soporte para el manejo de nombres de usuarios y contraseñas en HTTP y HTTP con Secure Sockets Layer (SSL), o URLs HTTPS, en el Internet Explorer.
La siguiente forma de autenticación, ya no será soportada ni en el Internet Explorer ni en el Explorador de Windows, después de instalarse el parche:
http(s)://username:password@server/resource.ext
Más información sobre esto en el siguiente artículo (en español):
Microsoft Knowledge Base Article - 834489 - Microsoft lanzará al mercado una actualización de software que modifique el comportamiento predeterminado de Internet Explorer en relación con la utilización de la información de usuario en las direcciones URL HTTP y HTTPS,
http://support.microsoft.com/?kbid=834489
En forma adicional, este parche deshabilita la posibilidad de navegación por URLs como "usuario:contraseña@host.com", en XMLHTTP.
Microsoft está actualmente elaborando una actualización de MSXML para esta característica de XMLHTTP, y dicha información será ampliada en el boletín correspondiente.
La actualización también optimiza un cambio hecho en el Internet Explorer 6 Service Pack 1, que previene que páginas Web en la zona de seguridad de Internet, puedan acceder a la zona de seguridad local.
Nota:
Del mismo modo como ocurría con los anteriores parches acumulativos para el IE, realizados en los boletines MS03-004, MS03-015, MS03-020, MS03-032, MS03-040 y MS03-048 (suplantados por el actual), este parche causará que la función window.showHelp( ) deje de funcionar. Si usted ha aplicado previamente la actualización del componente HTML Help, desde el artículo 811630 de la Knowledge Base
(http://support.microsoft.com/?kbid=811630), podrá seguir utilizando la funcionalidad HTML Help, luego de aplicar este parche.
IMPORTANTE
Actualizaciones:
30/jul/04 - Este parche ha sido sustituido por un nuevo parche acumulativo:
MS04-025 Actualización acumulativa para IE (867801)
http://www.vsantivirus.com/vulms04-025.htm
Más información:
Microsoft Security Bulletin MS04-004
http://www.microsoft.com/technet/security/bulletin/MS04-004.asp
Microsoft Knowledge Base Article - 832894
http://support.microsoft.com/?kbid=832894
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|