|
Dos vulnerabilidades en Internet Explorer
|
|
VSantivirus No. 1595 Año 8, jueves 18 de noviembre de 2004
Dos vulnerabilidades en Internet Explorer
http://www.vsantivirus.com/vul-ie-181104.htm
Por Angela Ruiz
angela@videosoft.net.uy
Secunia reporta el descubrimiento de dos vulnerabilidades en Internet Explorer de Microsoft, que podrían ser explotadas por personas maliciosas para eludir las características de seguridad del SP2 de Windows XP, y de ese modo engañar al usuario para descargar archivos peligrosos.
1. Microsoft Windows XP SP2 posee una característica de seguridad que advierte al usuario cuando éste intenta descargar ciertos tipos de archivos. El problema es cuando el archivo descargado es enviado con un cabezal HTTP "Content-Location". Si este ha sido maliciosamente modificado, ninguna ventana de alerta es mostrada al usuario cuando el archivo es abierto.
2. Un error cuando se graban algunos documentos utilizando la función "execCommand()" de Javascript, podría ser explotado para engañar la verdadera extensión del archivo en la ventana "Guardar página Web". Para una explotación exitosa se requiere que la opción "Ocultar las extensiones de archivos para tipos de archivo conocidos" esté habilitada (lo está por defecto).
La combinación de ambas vulnerabilidades, puede ser explotada por un sitio Web malicioso para engañar al usuario para que descargue un ejecutable peligroso, enmascarado como un documento HTML.
Las vulnerabilidades han sido confirmadas en sistemas con todos los parches instalados, y con Internet Explorer 6.0 y Microsoft Windows XP SP2.
Solución
Deshabilitar la opción "Secuencias de comandos ActiveX" (Active Scripting), y desmarcar la opción "Ocultar las extensiones de archivos para tipos de archivo conocidos", desde "Mi PC", "Herramientas", "Opciones de carpetas", "Ver".
Para desactivar "Secuencias de comandos ActiveX", y mantener Internet Explorer protegido, recomendamos la configuración sugerida en el siguiente artículo de VSAntivirus:
Configuración personalizada para hacer más seguro el IE
http://www.vsantivirus.com/faq-sitios-confianza.htm
Créditos:
cyber flash
Más información:
Microsoft Internet Explorer Two Vulnerabilities
http://secunia.com/advisories/13203/
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|
|