|
MS04-038 Actualización acumulativa para IE (834707)
|
|
VSantivirus No. 1559 Año 8, miércoles 13 de octubre de 2004
MS04-038 Actualización acumulativa para IE (834707)
http://www.vsantivirus.com/vulms04-038.htm
Por Redacción VSAntivirus
vsantivirus@videosoft.net.uy
Se han detectado varios problemas de seguridad que podrían permitir a un usuario malintencionado poner en peligro un equipo que ejecute Internet Explorer y hacerse con el control del mismo. Esta actualización afecta a todos los equipos con Internet Explorer instalado, incluso aunque no se ejecute como explorador de web.
Nivel de gravedad: Crítico
Impacto: Ejecución remota de código
Fecha publicación: 12 de octubre de 2004
Reemplaza:
Esta revisión reemplaza a la proporcionada por el boletín de seguridad MS04-025.
MS04-025 Actualización acumulativa para IE (867801)
http://www.vsantivirus.com/vulms04-025.htm
Software afectado:
- Microsoft Windows NT Server 4.0 Service Pack 6a
- Microsoft Windows NT Server 4.0 Terminal Server Edition SP6
- Microsoft Windows 2000 Service Pack 3
- Microsoft Windows 2000 Service Pack 4
- Microsoft Windows XP
- Microsoft Windows XP Service Pack 1
- Microsoft Windows XP Service Pack 2
- Microsoft Windows XP 64-Bit Edition Service Pack 1
- Microsoft Windows XP 64-Bit Edition Version 2003
- Microsoft Windows Server 2003
- Microsoft Windows Server 2003 64-Bit Edition
- Microsoft Windows 98
- Microsoft Windows 98 Second Edition (SE)
- Microsoft Windows Millennium Edition (Me)
Componentes afectados:
- Internet Explorer 5.01 Service Pack 3 (Windows 2000 SP3)
- Internet Explorer 5.01 Service Pack 4 (Windows 2000 SP4)
- Internet Explorer 5.5 Service Pack 2 (Windows Me)
- Internet Explorer 6 (Windows XP)
- Internet Explorer 6 Service Pack 1 (Windows 2000 SP3, SP4)
- Internet Explorer 6 Service Pack 1 (Windows XP, XP SP1)
- Internet Explorer 6 Service Pack 1 (Windows NT Server 4.0)
- Internet Explorer 6 Service Pack 1 (Windows 98, 98 SE, Me)
- Internet Explorer 6 (Windows XP SP1, 64-Bit Edition)
- Internet Explorer 6 (Windows Server 2003)
- Internet Explorer 6 (Windows Server 2003 64-Bit Edition)
- Internet Explorer 6 (Windows XP 64-Bit Version 2003)
- Internet Explorer 6 (Windows XP Service Pack 2)
Estas versiones fueron testeadas y son vulnerables. Otras versiones anteriores no mencionadas, podrían o no ser vulnerables, pero ya no son soportadas por Microsoft.
* Usuarios de Windows 98, Windows 98 Segunda edición y Windows Millennium Edition
Microsoft sólo publica actualizaciones de seguridad para problemas de seguridad críticos. Para obtener más información acerca de las directivas del ciclo de vida del soporte técnico de Microsoft correspondientes a estos sistemas operativos, visite el siguiente sitio Web de Microsoft:
http://support.microsoft.com/default.aspx?pr=LifeAn1
Windows 98, Windows 98 Segunda edición y Windows Millennium Edition están afectados gravemente por estas vulnerabilidades. Las actualizaciones de seguridad críticas para estas plataformas pueden no estar disponibles en este momento con el resto de actualizaciones de seguridad proporcionadas en este boletín de seguridad. Estarán disponibles lo antes posible una vez que se creen. Cuando estas actualizaciones de seguridad estén disponibles, podrá descargarlas únicamente en el sitio Web de Windows Update
http://windowsupdate.microsoft.com.
Descripción
Esta actualización resuelve varias vulnerabilidades públicas y reportadas en forma privada a Microsoft.
Si el usuario actual tiene privilegios administrativos, el atacante podrá tomar el control total del sistema afectado, incluyendo la instalación de programas; visualizar, cambiar o borrar información; o crear nuevas cuentas con todos los privilegios. Si el usuario actual no posee esos privilegios, el atacante también verá restringidas sus acciones.
En adición a los parches para las vulnerabilidades reportadas, esta actualización realiza algunos cambios en la implementación de ciertas verificaciones de seguridad en documentos de ayuda HTML cuando son descargados y abiertos desde la zona de Internet.
También repara una debilidad en la configuración de la zona de seguridad de Internet Explorer en Windows XP para la acción de arrastrar y soltar, o copiar y pegar archivos. También aumenta los chequeos de validación de elementos de imágenes usados en dichos eventos, bloqueando la operación si estos no son realmente imágenes.
La actualización corrige una vulnerabilidad en la memoria HEAP (la porción de memoria disponible para un programa, también llamada área de memoria dinámica), que se produce en el Internet Explorer al manejar hojas de estilo (CSS), y que puede ser usada por un atacante remoto para la ejecución remota de código desde un sitio Web malicioso. Sin embargo, se requiere la interacción del usuario para una explotación exitosa del fallo.
Otra vulnerabilidad corregida está relacionada con el modelo de seguridad de dominios cruzados. Un atacante puede aprovecharse de la misma para lograr ejecutar un script en la zona de seguridad local cuando el usuario visita un sitio web construido maliciosamente. También se puede acceder a información en un dominio diferente. Si el usuario actual tiene privilegios administrativos, el atacante podrá tomar el control total del sistema afectado.
Existe una vulnerabilidad relacionada con el manejo de nombres similares, que también es corregida por el parche, y que también permite a un atacante la ejecución de script en la zona de seguridad local, o acceder a información de otro dominio.
Se han solucionado en esta actualización, otras vulnerabilidades similares, explotables por un atacante si el usuario visita un sitio Web malicioso, con la consecuencia de poder ejecutar código en forma remota.
También se corrigen dos problemas en la forma en que la barra de direcciones muestra algunas direcciones si estas son modificadas maliciosamente. Una de esas vulnerabilidades se produce con el uso de ciertos caracteres (Double Byte Character Set). Un usuario malicioso puede utilizar ambos fallos para ocultar la verdadera URL al usuario, lo que puede ser utilizado en ataques de phishing (suplantación de un sitio por otro).
Otras vulnerabilidades corregidas están relacionadas con el manejo de etiquetas de imágenes que permiten la descarga y ejecución de código por el simple acto de visitar un sitio web malicioso; y otra relacionada con el manejo del caché del contenido SSL que permite a un atacante ejecutar un script en sitios que el Internet Explorer considera falsamente como seguros. SSL (Secure Socket Layer), es un protocolo para encriptar la comunicación entre servidor y cliente a los efectos de establecer una conexión segura.
Descargas:
IMPORTANTE
Actualización de seguridad acumulativa para Internet Explorer 6 Service Pack 1 - Windows XP, Windows 2000 (KB834707)
Actualización de seguridad acumulativa para Internet Explorer 6 Service Pack 1 - Windows 98, Windows Millennium, Windows NT4 (KB834707)
1/dic/04 - Estos parches ha sido sustituidos por un nuevo parche acumulativo:
MS04-040 Actualización acumulativa para IE (889293)
http://www.vsantivirus.com/vulms04-040.htm
Las actualizaciones para otras versiones pueden descargarse de los siguientes enlaces:
Actualización de seguridad acumulativa para Internet Explorer 5.01 SP3 (KB834707)
http://www.microsoft.com/downloads/details.aspx?FamilyId=
2D8E8E97-4946-4994-924B-1FB1DC1881BA&displaylang=es
Actualización de seguridad acumulativa para Internet Explorer 5.01 SP4 (KB834707)
http://www.microsoft.com/downloads/details.aspx?FamilyId=
72DBE239-AF0A-42B5-B88C-A00371F6EC81&displaylang=es
Actualización de seguridad acumulativa para Internet Explorer 5.5 Service Pack 2 (KB834707)
http://www.microsoft.com/downloads/details.aspx?FamilyId=
BE27F77C-3C2D-45F1-86DF-2B71799DA169&displaylang=es
Actualización de seguridad acumulativa para Internet Explorer 6 (KB834707)
http://www.microsoft.com/downloads/details.aspx?FamilyId=
A89CFBE8-C299-415D-A9D6-7CC6429C547D&displaylang=es
Actualización de seguridad acumulativa para Internet Explorer para Windows Server 2003 (KB834707)
http://www.microsoft.com/downloads/details.aspx?FamilyId=
19E69E5F-9C98-49AD-A61F-4F82A4014412&displaylang=es
Actualización de seguridad acumulativa para Internet Explorer para Windows XP Service Pack 2
(KB834707)
http://www.microsoft.com/downloads/details.aspx?FamilyId=
CF47B515-3F51-43E1-9246-2C2264C49E2E&displaylang=es
Descarga para otros productos:
www.microsoft.com/technet/security/bulletin/ms04-038.mspx
Nota:
Antes de instalar esta actualización, por favor verifique que el software que se menciona tenga instalado los Service Pack a los que se hace referencia. En caso contrario la aplicación puede fallar o ejecutarse de manera incorrecta.
Más información:
Microsoft Security Bulletin MS04-038
www.microsoft.com/technet/security/bulletin/ms04-038.mspx
Microsoft Knowledge Base Article - 834707
http://support.microsoft.com/?kbid=834707
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|
|