viernes, 30 de julio de 2004

Microsoft publica una actualización crítica para Internet Explorer

Microsoft rompe su habitual práctica de publicar boletines y
actualizaciones de seguridad los segundos martes de mes, para
publicar hoy mismo una actualización crítica para Internet
Explorer.

Esta actualización resuelve tres vulnerabilidades públicas
descubiertas recientemente que permiten la ejecución remota de
código y pueden ser empleadas por virus o intrusos. La propia
compañía reitera a los usuarios la necesidad de actualizarse para
prevenir ataques de virus.

El primero de los problemas anunciados se trata de una vulnerabilidad
de ejecución remota de código en Internet Explorer debida al modo en
que tratan los métodos de exploración. Un intruso podría aprovechar
esta vulnerabilidad mediante la construcción de una página Web o
e-mail html malicioso que permitirá la ejecución remota de código
cuando el usuario visite el sitio web o visualice el mensaje. Un
atacante que consiga aprovechar con éxito esta vulnerabilidad podrá
ejecutar código malicioso en la zona de seguridad Equipo local de
Internet Explorer. Si un usuario inicia la sesión con privilegios
administrativos, el intruso podrá lograr el control completo del
sistema afectado.

Otro problema corregido consiste en una vulnerabilidad de
desbordamiento de búfer en el tratamiento de imágenes BMP, que puede
permitir la ejecución remota de código en los sistemas afectados. El
atacante deberá construir una página web o un e-mail html con la
imagen BMP mal construida para lograr explotar el fallo. El código se
ejecutará con los permisos del usuario que inició la sesión.

La ultima vulnerabilidad anunciada también consiste en un
desbordamiento de búfer en el tratamiento de imágenes GIF, que puede
permitir la ejecución remota de código en los sistemas afectados. El
problema puede ser explotado de forma similar al anterior.

Actualizaciones publicadas:
Internet Explorer 5.01 Service Pack 2:
http://www.eu.microsoft.com/downloads/details.aspx?FamilyID=507E71EF-076B-43C4-8028-E91FCFAB252B&displaylang=es
Internet Explorer 5.01 Service Pack 3:
http://www.eu.microsoft.com/downloads/details.aspx?FamilyId=7AA6F31D-7350-43F8-B72E-ED9D62577A60&displaylang=es
Internet Explorer 5.01 Service Pack 4:
http://www.eu.microsoft.com/downloads/details.aspx?FamilyId=862E6914-821A-4C51-985B-C3958FAD3D4C&displaylang=es
Internet Explorer 5.5 Service Pack 2:
http://www.eu.microsoft.com/downloads/details.aspx?FamilyId=E458480C-93F6-454A-A663-FC187C18CD9B&displaylang=es
Internet Explorer 6:
http://www.eu.microsoft.com/downloads/details.aspx?FamilyId=4C2F8A40-1B88-4F93-98B1-1619DCFD7273&displaylang=es
Internet Explorer 6 Service Pack 1
http://www.eu.microsoft.com/downloads/details.aspx?FamilyId=06F49985-F19F-4B50-A75F-7636D8BEE576&displaylang=es
Internet Explorer 6 Service Pack 1 (64-Bit Edition):
http://www.eu.microsoft.com/downloads/details.aspx?FamilyId=FCDA580D-9E3B-4B44-BD65-C8D37A0DD62D&displaylang=en
Internet Explorer 6 para Windows Server 2003:
http://www.eu.microsoft.com/downloads/details.aspx?FamilyId=D86262D9-C66A-4608-8DBE-2492B4AFBC3B&displaylang=es
Internet Explorer 6 para Windows Server 2003 (64-Bit Edition):
http://www.eu.microsoft.com/downloads/details.aspx?FamilyId=1AA8F5A9-71D3-48F7-BB32-F8A4D36C5FB9&displaylang=en


Antonio Ropero
antonior@hispasec.com


Más información:

Boletín de seguridad de Microsoft MS04-025
Actualización de seguridad acumulativa para Internet Explorer (867801)
http://www.eu.microsoft.com/spain/technet/seguridad/boletines/MS04-025-IT.mspx