sábado, 26 de abril de 2003

Actualización acumulativa para Internet Explorer

Se anuncia la existencia de cuatro nuevas vulnerabilidades en el
navegador de Microsoft, la más seria de ellas permite a un atacante la
ejecución de código arbitrario en el sistema del usuario si el usuario
abre una página web maliciosa o un e-mail especialmente creado.

Microsoft publica un parche que incluye las funcionalidades de todos
los parches anteriormente publicados para Internet Explorer 5.01, 5.5
y 6.0 además de evitar estos cuatro nuevos problemas:

Desbordamiento de búfer en URLMON.DLL producido por que Internet
Explorer no comprueba de forma adecuada los parámetros de la
información recibida desde el servidor web. Un atacante podrá explotar
este problema para lograr la ejecución de código en el sistema del
usuario que visite la página.

Vulnerabilidad en el control de subida de archivos de Internet
Explorer que permite que la entrada desde un script sea pasada al
control de subida. Esta vulnerabilidad permite a un atacante
suministrar un nombre de archivo al control y subirlo de forma
automática desde el sistema del usuario al servidor web.

Vulnerabilidad en la forma en que Internet Explorer trata los archivos
de terceras partes y que puede permitir la ejecución de scripts en el
contexto de seguridad del usuario.

Fallo en el tratamiento de los diálogos modales por Internet Explorer
que ocurre debido a que no se comprueba adecuadamente un parámetro de
entrada. Este fallo permitirá a un atacante usar un script inyectado
para proporcionar acceso a archivos del ordenador del usuario.

Los parches publicados pueden descargarse desde.
http://www.microsoft.com/windows/ie/downloads/critical/813489/default.asp

Aunque este parche corrige cuatro vulnerabilidades hay que recordar
que sigue sin corregirse la anunciada en una-al-día el día 20.
También hay que aclarar que esta actualización es totalmente
independiente de la descrita en el boletín de ayer.


Antonio Ropero
antonior@hispasec.com


Más información:

Microsoft Security Bulletin MS03-015
Cumulative Patch for Internet Explorer (813489)
http://www.microsoft.com/technet/security/bulletin/MS03-015.asp

What You Should Know About Microsoft Security Bulletin MS03-015
Security Update for Microsoft Internet Explorer
http://www.microsoft.com/security/security_bulletins/ms03-015.asp

Microsoft Knowledge Base Article - 813489
MS03-015: April, 2003, Cumulative Patch for Internet Explorer
http://support.microsoft.com/?id=813489

una-al-dia (20/04/2003) Denegación de servicios en Internet Explorer
http://www.hispasec.com/unaaldia/1638/comentar