El navegador y cliente de correo más utilizados en entornos Windows,
Internet Explorer y Outlook Express, ya cuentan con una versión para
plataformas Unix. El problema es que Microsoft no está proporcionando
las actualizaciones de seguridad para estas nuevas versiones.
Internet Explorer 5 y Outlook Express están disponibles para Solaris y
HP-UX, donde Microsoft destaca que se trata del mejor navegador para
visualizar los documentos de Office con soporte XML y DHTML. A los
administradores se les hace hincapié en la posibilidad de crear
distribuciones preconfiguradas con el Administration Kit, mientras que
para los desarrolladores y diseñadores web es presentado como la
aplicación multiplataforma sobre la que sus creaciones correrán de
igual forma en Windows y Unix.
Hasta aquí las ventajas que nos presentan, a continuación las malas
noticias.
Microsoft hizo la migración al nuevo entorno con la versión 5, y desde
entonces no ha dado soporte para las continuas vulnerabilidades que
han surgido, ni facilita para estas plataformas las última versión
5.5. El resultado es que Internet Explorer 5 y Outlook Express para
Unix se presentan con numerosos agujeros de seguridad que pueden ser
explotados de igual forma que ocurriera en Windows, y entre los que
destacan los descubiertos por nuestro habitual Georgi Guninski.
La excepción, que confirma la regla, la encontramos en la última y
grave vulnerabilidad descubierta en la Máquina Virtual Java de
Microsoft, gracias a que Internet Explorer para HP-UX utiliza la
Máquina Virtual de Java desarrollada por Hewlett-Packard, mientras
que en Solaris utiliza la de Sun Microsystems. Tampoco pueden ser
explotadas las vulnerabilidades que se basan en tecnología propia
de los entornos Windows, caso de componentes Active-X, pero sin
embargo existen aun numerosos agujeros que afectan de forma grave,
entre los que destacamos algunos en el apartado de enlaces.
bernardo@hispasec.com
Más información:
Internet Explorer for UNIX
http://www.microsoft.com/unix/ie/default.asp
Vulnerabilidad «JavaScript Redirect» en Internet Explorer
http://www.hispasec.com/unaaldia.asp?id=356
Vulnerabilidad «IFRAME» en Microsoft IE5
http://www.hispasec.com/unaaldia.asp?id=349
Vulnerabilidades en Internet Explorer 5.0
http://www.hispasec.com/unaaldia.asp?id=165
In-Seguridad en Internet Explorer 5
http://www.hispasec.com/unaaldia.asp?id=159
Parche obligado para usuarios de Windows 9x/Me/NT/2000
http://www.hispasec.com/unaaldia.asp?id=717
