Microsoft facilita un nuevo parche para su máquina virtual Java que
corrige una vulnerabilidad que permite leer archivos del cliente al
visualizar una página o mensaje HTML.
Este problema, descubierto por Guninski, ya se publicó en Hispasec
«19/10/2000 – Guninski descubre una nueva vulnerabilidad», donde
además de conocer los detalles pueden ver una demostración en línea
y comprobar si se encuentran afectados:
http://www.hispasec.com/unaaldia.asp?id=725
Esta vulnerabilidad sólo puede ser explotada para leer, y no es tan
grave como la anterior que prácticamente permitía el control total
del sistema:
03/10/2000 – Grave vulnerabilidad en Internet Explorer y Outlook
http://www.hispasec.com/unaaldia.asp?id=709
11/10/2000 – Parche *obligado* para usuarios de Windows 9x/Me/NT/2000
http://www.hispasec.com/unaaldia.asp?id=717
Si bien esta nueva vulnerabilidad se presenta en principio en Internet
Explorer y Outlook Express, la máquina virtual Java de Microsoft se
distribuye en todas las versiones de Windows y puede ser utilizada
por otros programas. Por ello se recomienda a todos los usuarios de
Windows la actualización a la nueva versión 3319.
Microsoft Virtual Machine (Build 3319, released 10/25/00)
http://www.microsoft.com/java/vm/dl_vm40.htm
bernardo@hispasec.com
Más información:
Patch Available for New Variant of «VM File Reading» Vulnerability
http://www.microsoft.com/technet/security/bulletin/MS00-081.asp
FAQ Microsoft Security Bulletin (MS00-081)
http://www.microsoft.com/technet/security/bulletin/fq00-081.asp
