Además de tratarse de un parche acumulativo, incluye todas las
actualizaciones hasta la fecha, elimina dos nuevas e importantes
vulnerabilidades del navegador de Microsoft. La primera de ellas
permite a un atacante lanzar desde una página web comandos y
aplicaciones ya existentes en el sistema de la víctima, la segunda
posibilita incluir scripts en una cookie y ejecutar su código de
forma local.
Las cookies que los servidores webs almacenan en nuestros ordenadores
deben ser manejadas por Internet Explorer en el contexto de seguridad
de Internet, con mayores restricciones. La vulnerabilidad detectada
permite que un servidor web incluya código en una cookie, que ésta sea
almacenada en el disco duro del usuario al visitar la página o al
incluirla en un mensaje con formato HTML, para terminar siendo
ejecutada en el contexto de seguridad local, sin restricciones, y con
acceso indiscriminado al sistema. Este problema, ejecución de scripts
inyectados en las cookies, afecta a las versiones 5.5 y 6 de
Internet Explorer.
La otra vulnerabilidad tiene que ver con la interpretación de las
etiquetas , que ya fuera origen de otros problemas de
seguridad como el desbordamiento de buffer y la posibilidad de
ejecución de código arbitrario en Office 2000. En esta ocasión la
nueva vulnerabilidad afecta a la propiedad codeBase y permite ejecutar
remotamente, al visitar una página web diseñada al efecto, comandos
o aplicaciones ya existentes en el sistema de la víctima, afectando
a Internet Explorer versiones 5.1, 5.5 y 6.
Recomendamos a todos los usuarios afectados la instalación del parche,
se trata de vulnerabilidades críticas que podrían explotadas tanto en
ataques personalizados como en el diseño de gusanos de propagación
masiva.
Descarga del parche (2.xx MB según versión del IE):
http://www.microsoft.com/windows/ie/downloads/critical/Q319182/default.asp
bernardo@hispasec.com
Más información:
MS02-015 : 28 March 2002 Cumulative Patch for Internet Explorer
http://www.microsoft.com/technet/security/bulletin/MS02-015.asp
Deja una respuesta