Microsoft publica un nuevo boletín de seguridad junto con un
parche destinado a cubrir una vulnerabilidad en dos controles
ActiveX por la que a través de una página web se podía tener
acceso no autorizado sobre el visitante.
Esta nueva vulnerabilidad implica a dos controles ActiveX,
concretamente Scriptlet.typlib y Eyedog. Estos controles no están
de ninguna forma relacionados entre sí, su única relación está en
que ambos se encuentran etiquetados como “seguro para los
scripts” y por lo tanto pueden ejecutarse desde Internet
Explorer.
Scriptlet.typlib es un control que emplean los desarrolladores
para generar Type Libraries para Windows Script Components. Está
marcado como “seguro para los scripts”, pero esto no es realmente
correcto ya que permite crear o modificar archivos locales. El
parche actúa sobre el script eliminando la marcha que lo acredita
como “seguro para scripts”, asi IE solicitará la confirmación del
usuario.
El segundo control implicado es Eyedog, que se emplea en software
de diagnósticos en Windows. Al igual que el anterior está marcado
como “seguro para scripts”, pero a través de él se permite el
acceso a la información del registro, y de esta forma recopilar
toda la información sobre dicha máquina. Además, uno de los
métodos de este control es vulnerable a un ataque de sobrecarga
de buffer.
Los peligros asociados a esta vulnerabilidad están limitados por
los privilegios de usuario en su máquina, ya que los controles
sólo pueden realizar acciones que el mismo usuario puede
efectuar.
Más información:
Parche para versiones en inglés de IE
Boletín de seguridad
Preguntas y respuestas sobre la vulnerabilidad
Deja un comentario