Microsoft publica un parche destinado a cubrir seis nuevas y graves
vulnerabilidades para Internet Explorer en sus versiones 5.01, 5.5 y
6.0. Además se trata de una actualización acumulativa destinada a evitar
todos los problemas conocidos hasta la fecha para dichos productos.
Las nuevas vulnerabilidades corregidas son las siguientes:
* Vulnerabilidad de cross-site scripting en un recurso HTML local. Una
de las páginas incluidas por defecto con la distribución de IE permite
la inyección de código en el contexto de seguridad de la zona local. El
atacante podría preparar una página web destinada a explotar esta
vulnerabilidad para dejarla en un sitio web o enviarla por email. Cuando
el usuario afectado visualice la página web se ejecutará el código
preparado por el atacante con el contexto de seguridad de la zona local.
* Vulnerabilidad de divulgación de información relacionada con el
tratamiento de scripts dentro de cookies que podrá permitir a un sitio
la lectura de las cookies de otro sitio web diferente.
* Una vulnerabilidad de falsificación de zona que puede permitir a una
página web que puede hacer que una página web sea tratada de forma
incorrecta en el contexto de seguridad de una zona diferente a la que le
corresponde.
* Dos variantes de la vulnerabilidad relacionada con la falsificación de
formatos de descarga confiables. De forma que si un atacante modifica
las cabeceras Content-Disposition y Content-Type podrá lograr que
Explorer considere que el archivo a descargar sea de una extensión
considerada como no peligrosa cuando en realidad si lo es.
* Finalmente, se introduce un cambio de comportamiento en la zona de
Sitios Restringidos. Específicamente se deshabilita el uso de frames en
dicha zona.
Puede descargarse la actualización para corregir esta vulnerabilidad
desde:
http://www.microsoft.com/windows/ie/downloads/critical/Q321232/default.asp
Más información:
Boletín de seguridad Microsoft (MS02-023):
Cumulative Patch for Internet Explorer
http://www.microsoft.com/technet/security/bulletin/MS02-023.asp