Dentro del conjunto de boletines publicado por Microsoft el pasado
martes, la compañía anunció una actualización acumulativa para su
navegador Internet Explorer que solventa diversas vulnerabilidades;
entre las que se encuentran algunas que pueden ser explotadas por
usuarios maliciosos para comprometer la seguridad del sistema.
Las tres nuevas vulnerabilidades que corregidas son las siguientes:
* Una de las vulnerabilidades permitiría a un atacante ejecutar código
arbitrario debido a un problema a la hora de procesar imágenes JPEG.
Dos posibles vectores de ataque serían una web maliciosa o un email
especialmente construido a tal efecto.
* También se ha solucionado una vulnerabilidad de dominios cruzados en
el navegador que permitiría acceder a información sensible o incluso
ejecutar código arbitrario en un sistema afectado. Esta vulnerabilidad
requiere una cantidad significativa de interacción por parte de la
víctima, por lo que normalmente ha de basarse también en técnicas de
ingeniería social.
* Existe la posibilidad de ejecutar código arbitrario con Internet
Explorer debido a la forma en la que dicho componente instala objetos
COM que no están diseñados para ser usados con él. Un atacante puede
utilizar esta circunstancia para construir una Web maliciosa que, una
vez visitada por la víctima, provocaría la ejecución remota de código
arbitrario.
Se recomienda utilizar Windows Update para actualizar los sistemas
afectados, aunque se pueden utilizar las siguientes URLs para
descargar los parches de actualización correspondientes:
* Internet Explorer 5.01 Service Pack 4 en Microsoft Windows 2000
Service Pack 4
http://www.microsoft.com/downloads/details.aspx?FamilyId=194E0EE7-919C-4A8B-AD8D-01A4FE771942
* Internet Explorer 6 Service Pack 1 en Microsoft Windows 2000 Service
Pack 4 o Microsoft Windows XP Service Pack 1
http://www.microsoft.com/downloads/details.aspx?FamilyId=68300B15-1CF9-45FB-875E-2EF6D2FBC9ED
* Internet Explorer 6 para Microsoft Windows XP Service Pack 2
http://www.microsoft.com/downloads/details.aspx?FamilyId=648B6F0E-1695-44E5-826A-43406DF4858E
* Internet Explorer 6 para Microsoft Windows Server 2003 y 2003
Service Pack 1
http://www.microsoft.com/downloads/details.aspx?FamilyId=0B96EC3-E954-423A-9AB0-5712B9F14637
* Internet Explorer 6 para Microsoft Windows Server 2003 y 2003 SP1
para sistemas basados en Itanium
http://www.microsoft.com/downloads/details.aspx?FamilyId=C24D3738-213A-41B8-84A3-2842B34D7B10
* Internet Explorer 6 para Microsoft Windows Server 2003 x64 Edition
http://www.microsoft.com/downloads/details.aspx?FamilyId=F2D544E7-33F5-4A65-A574-15495B05B883
* Internet Explorer 6 for Microsoft Windows XP Professional x64
Edition
http://www.microsoft.com/downloads/details.aspx?FamilyId=1181BC67-0A1D-4A06-99AC-5B2BC6DFE0F6
jcanto@hispasec.com
Más información:
Cumulative Security Update for Internet Explorer (896727): MS05-038
http://www.microsoft.com/technet/security/Bulletin/MS05-038.mspx
Boletín de Seguridad de Microsoft MS05-038
Actualización de seguridad acumulativa para Internet Explorer (896727)
http://www.microsoft.com/spain/technet/seguridad/boletines/MS05-038-IT.mspx
Deja una respuesta