sábado, 19 de agosto de 2006

Los parches de MS06-042 pueden impedir la visualización de ciertas páginas con Internet Explorer

Dentro de los doce boletines de seguridad publicados el pasado día 8 de agosto, el MS06-042 escondía una actualización para ocho problemas de seguridad descubiertos en el navegador Internet Explorer, con varias de estas vulnerabilidades calificadas como críticas. La solución a estos problemas en forma de parche acumulativo ha introducido un nuevo error que hace que el navegador deje de responder al visitar ciertas páginas.

Los usuarios de Windows 2000 SP4 y XP SP1 que hayan aplicado este parche, habrán observado un comportamiento errático del navegador al visitar ciertas webs. El navegador informa de un error irreparable y se cierra de forma abrupta, impidiendo la visualización de la página. Aunque este fallo podría considerarse como una "denegación de servicio", no parece que en principio permita ser aprovechado por atacantes para ejecutar ningún otro tipo de acción que pueda comprometer el sistema. Es importante destacar que el problema no afecta a los usuarios de Windows XP con el Service Pack 2 instalado, que no sufrirán este error y por tanto no tendrán que realizar ninguna acción al respecto.

Este inconveniente ha sido reconocido por Microsoft, admitiendo que ha sido introducido inadvertidamente con la última actualización acumulativa para Internet Explorer. El fallo se da en las páginas que acepten el uso de la versión 1.1 del protocolo HTTP además de compresión de tráfico. Estas dos circunstancias no son manejadas correctamente por el navegador si ha sido actualizado con los parches del boletín MS06-042 (acción más que recomendada).

Microsoft ha creado un “hotfix” que soluciona el problema, pero no lo ha hecho público para descarga (sólo está disponible a través de la línea de soporte del fabricante). Mientras, como contramedida, los usuarios pueden desactivar el uso de la versión 1.1 del protocolo en el navegador. Esto se consigue a través de las “Opciones de Internet” en la pestaña “Opciones avanzadas”. En este menú es necesario desactivar la opción “Usar HTTP 1.1”. Si realmente es este el origen del problema, las páginas “problemáticas” deberían poder ser visitadas sin problemas.

En cualquier caso, Microsoft planea una nueva publicación del parche el día 22 de agosto, que no contendrá este fallo y que estará disponible a través de los canales habituales de distribución de parches públicos.

Sergio de los Santos
ssantos@hispasec.com


Más información:

Internet Explorer 6 Service Pack 1 unexpectedly exits after you install the 918899 update
http://support.microsoft.com/kb/923762/