viernes, 22 de agosto de 2003

Internet Explorer: actualización urgente

Nuevas vulnerabilidades descubiertas en el navegador de Microsoft
requieren instalar de forma urgente el último parche acumulativo.
Entre otros problemas, los agujeros de seguridad permitirían ejecutar
comandos arbitrarios de forma remota al visitar una página web con
Internet Explorer, lo que compromete totalmente los sistemas de los
usuarios que utilicen dicho navegador.

Todas las versiones de Internet Explorer están afectadas (5.01, 5.5,
6.0 y 6.0 para Windows 2003). Los parches pueden ser instalados de
forma automática desde http://windowsupdate.microsoft.com o bien
descargarse directamente, según versión e idioma, desde:
http://www.microsoft.com/windows/ie/downloads/critical/822925/default.asp

Con la excepción de aquellos que dispongan de Internet Explorer 6 para
Windows 2003 Server, cuyo parche se encuentra en esta localización:
http://www.microsoft.com/windows/ie/downloads/critical/822925s/default.asp

Las vulnerabilidades corregidas son:

* Posibilidad de ejecutar scripts de forma remota en el contexto de
seguridad de la zona local, por defecto con menos restricciones de
seguridad que la zona Internet. Entre otras acciones, el atacante
podría ejecutar comandos locales o visualizar todo el contenido
del sistema del usuario (información sensible, contraseñas, etc).

* Ejecución arbitraria de comandos de forma remota, sin duda la
vulnerabilidad más crítica. El atacante podría llevar a cabo
prácticamente cualquier acción, con los mismos privilegios que el
usuario. Aquí el problema es que es posible hacer creer a Internet
Explorer que cualquier ejecutable es seguro y lanzarlo de forma
automática sin pedir autorización alguna al usuario.

La forma de explotación es sencilla, todo se debe a que Internet
Explorer no chequea realmente la naturaleza del contenido que
establece la localización del ActiveX a descargar en la etiqueta
Object. Todos los detalles en el aviso de eEye en el apartado de
"Más información".

* Por último han aprovechado este parche para incluir una
modificación en el registro de Windows (KillBit) que impide que
el control ActiveX BR549.DLL pueda ser ejecutado en Internet
Explorer, ya que se han descubierto vulnerabilidades en él.
Este control formaba parte de Windows Reporting Tool, y con
esta modificación se impide también que pueda ser reintroducido
en el sistema desde una página web maliciosa para aprovechar
sus vulnerabilidades, ya que originalmente estaba marcado como
seguro y su instalación era transparente al usuario.

Adicionalmente se han añadido otras modificaciones, relacionadas
con vulnerabilidades consideradas menores y, como parche acumulativo
que es, incluye correcciones anteriores.

Desde Hispasec hacemos hincapié en la importancia de este parche,
por lo que instamos a todos los usuarios afectados a que procedan
a la instalación del mismo de forma inmediata.


Bernardo Quintero
bernardo@hispasec.com



Más información:

Cumulative Patch for Internet Explorer (822925)
http://www.microsoft.com/technet/security/bulletin/MS03-032.asp

Internet Explorer Object Data Remote Execution Vulnerability
http://www.eeye.com/html/Research/Advisories/AD20030820.html