Microsoft publica un nuevo parche acumulativo para Internet Explorer 5.5
y 6.0. Además de incluir las funcionalidades de todos los parches
previamente publicados para Internet Explorer 5.5 y 6.0, también elimina
una nueva vulnerabilidad en el modelo de seguridad de transferencia entre
dominios.
El fallo se presenta debido a que no se realizan los adecuados controles
de seguridad que Internet Explorer lleva a cabo cuando se emplean
determinadas técnicas de caché de objetos. Esto podrá permitir a un
sitio web en un dominio acceder a información de otro dominio, incluido
el sistema local del usuario.
Explotar esta vulnerabilidad podrá permitir a un atacante la lectura (no
modificación) de cualquier archivo situado en el disco duro del usuario
que visite la página web maliciosa. También se podrá lograr la ejecución
de cualquier ejecutable, siempre que se conozca su localización exacta,
y no podrá pasarle ningún parámetro.
Microsoft publica los parches necesarios para evitar este problema (y
todos las vulnerabilidades anteriores) en todos los idiomas, incluida la
versión española, en la dirección:
http://www.microsoft.com/windows/ie/downloads/critical/q324929/default.asp
antonior@hispasec.com
Más información:
Microsoft Security Bulletin MS02-068
Cumulative Patch for Internet Explorer (324929)
http://www.microsoft.com/technet/security/bulletin/MS02-068.asp
What You Should Know About Microsoft Security Bulletin MS02-068
http://www.microsoft.com/security/security_bulletins/MS02-068.asp
December 2002, Cumulative Patch for Internet Explorer (Q324929)
http://www.microsoft.com/windows/ie/downloads/critical/q324929/default.asp
