Microsoft ha publicado un parche para cubrir la vulnerabilidad
anunciada recientemente sobre el acceso remoto a las cookies
almacenadas en los discos duros de los usuarios. Este parche
además cubre tres nuevas vulnerabilidades y todas las vulnerabilidades
conocidas para Internet Explorer 5.5 SP2 e Internet Explorer 6.
El pasado día 12 de noviembre informábamos de una vulnerabilidad
existente en los navegadores de Microsoft Internet Explorer 5.5 e
Internet Explorer 6.0. Esta vulnerabilidad permitía el acceso remoto a
las cookies grabadas en el disco duro de los usuarios, con posibilidad
de leer o modificar su contenido.
En su momento Microsoft no había publicado el parche para eliminar esta
vulnerabilidad sin embargo se recomendaban una serie de contramedidas
para evitar cualquier problema. En la actualidad Microsoft anuncia la
publicación del parche necesario para eliminar esta vulnerabilidad.
Este nuevo parche puede calificarse de interés ya que no sólo resuelve
el problema de las cookies sino que elimina todas las vulnerabilidades
conocidas para Internet Explorer 5.5 SP2 e Internet Explorer 6.
Además de suprimir todas las vulnerabilidades que afectan a IE 5.5
Service Pack 2 e IE 6, el parche también elimina tres nuevas
vulnerabilidades. Las dos primeras hacen relación a la forma en que IE
maneja las cookies entre dominios y se basan en problemas similares a la
primera vulnerabilidad original, ya que mediante el uso de una URL
especialmente creada un usuario malicioso podrá conseguir acceso a las
cookies de los usuarios.
La ultima de las nuevas vulnerabilidades cubiertas sólo afecta a
Internet Explorer 6 y es una nueva variante de la anunciada el 11 de
octubre y que hace relación a la forma en que Internet Explorer trata
las direcciones IP construidas sin los puntos, por ejemplo
http://031713501415 en vez de http://207.46.131.13. Este tipo de
direcciones recibe el nombre de direcciones de 32 bits. El problema
viene dado, porque Explorer no reconoce que la dirección es un sitio
de Internet y trata de abrirlo con la configuración de seguridad de
la Zona Intranet. Es decir, con menores restricciones de seguridad.
Esta actualización puede descargarse de la dirección:
http://www.microsoft.com/windows/ie/downloads/critical/q312461/default.asp
antonior@hispasec.com
Más información:
Boletín de seguridad Microsoft MS01-055: Cumulative Patch for IE
http://www.microsoft.com/technet/security/bulletin/ms01-055.asp
Deja una respuesta