Controlado desde el
19/10/97 por NedStat
|
Cinco fallas en el IE que comprometen la seguridad
|
|
VSantivirus No. 1238 Año 8, Jueves 27 de noviembre de 2003
Cinco fallas en el IE que comprometen la seguridad
http://www.vsantivirus.com/27-11-03.htm
Por Angela Ruiz
angela@videosoft.net.uy
Múltiples vulnerabilidades han sido reportadas en Microsoft Internet Explorer, que implican riesgos como los de exponer información sensible a terceros, o la ejecución arbitraria de código en forma remota.
Estas cinco fallas fueron reveladas por el investigador de seguridad Liu Die Yu, y combinándolas, algún sitio web malicioso, o cualquier virus o troyano, podrían eludir las zonas de seguridad impuestas en el Internet Explorer 6 (y posiblemente también versiones anteriores).
Una de las fallas, se produce por cierta facilidad de redirección implementada en el Internet Explorer, que utiliza "mhtml:", y que podría ser explotada para eludir la comprobación de seguridad del programa, que normalmente bloquea las paginas web en la zona "Internet" al examinar archivos locales.
Esta característica de redirección, podría ser explotada además, para descargar y ejecutar cualquier archivo en el equipo del usuario, lo que incluye posibles virus o troyanos. Para que esta explotación sea exitosa, el script se deberá ejecutar en la zona de seguridad local (Mi PC).
Otra de las fallas, es una vulnerabilidad del tipo CROSS-SITE-SCRIPTING, que permite a un atacante introducir en el campo de un formulario o código embebido en una página un script, que podría ser ejecutado en una zona de seguridad asociada con otra página web que contenga submarcos (frames). Esto incluye la posibilidad de ejecutar código en la zona de seguridad local, "Mi PC".
También existe una variante de una vulnerabilidad ya corregida en parches anteriores, que permite la captura de los clics del usuario, para ejecutar código sin el conocimiento de éste.
Además, puede ser explotado un error en cierta característica de descarga de archivos, que se produce al dar un valor inválido a la cabecera "Content-Type". Esto podría exponer el contenido del directorio caché del usuario, lugar donde se almacena información sensible. Esta última falla no afecta a todas las versiones y habría sido solucionada en el último parche acumulativo del Internet Explorer.
Estas cinco fallas, son catalogadas como muy críticas, sin embargo, no se espera que Microsoft realice una actualización antes de la fecha prevista en su nuevo plan de actualizaciones mensuales, salvo por supuesto, que alguna de ellas sea notoriamente explotada.
Todas esas vulnerabilidades han sido comprobadas en Internet Explorer 6.0, pero versiones anteriores también podrían ser afectadas.
La solución momentánea, es desactivar el Active Scripting del Internet Explorer.
La configuración recomendada en el siguiente artículo de VSAntivirus, previene la acción de todas estas fallas, y además protege contra otros riesgos:
Navegando más seguros y sin molestos Pop-Ups con el IE
http://www.vsantivirus.com/faq-sitios-confianza.htm
Referencias:
Cinco graves fallas en el IE, ponen en riesgo a su PC
http://www.enciclopediavirus.com/noticias/verNoticia.php?id=347
Internet Explorer System Compromise Vulnerabilities
http://www.secunia.com/advisories/10289/
Vulnerabilities in Internet Explorer
http://www.safecenter.net/UMBRELLAWEBV4/DirSvc
/security/originality/microsoft_ie/index.html
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|
|