miércoles, 28 de agosto de 2002

Parche crítico para Internet Explorer

Disponible parche para corregir seis nuevas vulnerabilidades del
navegador de Microsoft. La actualización, considerada como crítica,
afecta a las versiones Internet Explorer 5.01, 5.5 y 6.0.
Se trata de un parche acumulativo de forma que, además de las nuevas
vunerabilidades, corrige todos los problemas conocidos con
anterioridad. Esta política de actualizaciones acumulativas que
Microsoft ha incorporado hace apenas unos meses facilita al usuario
la instalación y evita problemas que solían ser muy comunes al olvidar
aplicar parches específicos.

Las nuevas vulnerabilidades que corrige este parche son:

- Desbordamiento de buffer en el soporte del protocolo Gopher cuya
explotación permite la ejecución de código arbitrario.

- Desbordamiento de buffer en un control ActiveX usado para mostrar
texto especialmente formateado. Su explotación permite la ejecución
de código arbitrario con los privilegios del usuario.

- Vulnerabilidad en una directiva HTML que muestra datos XML permite
a un atacante leer contenidos de otros sitios webs al que haya
accedido con anterioridad la víctima.

- Vulnerabilidad en el cuadro de diálogo de descarga de archivos que
permite ofuscar el origen.

- Vulnerabilidad en el chequeo de dominios en la etiqueta Object
permite transferir datos entre diferentes dominios.

- Nueva variante de Cross-Site Scripting permite a un atacante crear
una web que se ejecute en la zona de seguridad Local del visitante,
en vez de en la zona Internet que cuenta con mayores restricciones
de seguridad.

Se recomienda a todos los usuarios afectados la inmediata instalación
del parche, disponible según idioma en la siguiente dirección:

http://www.microsoft.com/windows/ie/downloads/critical/q323759ie/default.asp


Bernardo Quintero
bernardo@hispasec.com


Más información:

Cumulative Patch for Internet Explorer (Q323759)
http://www.microsoft.com/technet/security/bulletin/MS02-047.asp