Grave falla en IE deja desprotegidos a los usuarios


Microsoft Internet Explorer 5.0 y 6.0 son vulnerables a un desbordamiento de búfer, para el que aún no existe un parche de parte de Microsoft. Creando una página web con contenido malicioso (un script creado especialmente), un atacante remoto puede provocar un desbordamiento de búfer y causar el cuelgue del Internet Explorer, o incluso la ejecución de código en forma arbitraria en el sistema de la víctima.





Esta acción puede provocarse con la simple visualización de una página maliciosa por parte del usuario, incluso a través de un mensaje de correo electrónico con formato HTML, en el cuál el atacante puede incluir un enlace a la página maligna que se ejecutará sin la intervención de la víctima.

La falla fue anunciada en la lista de seguridad BugTraq el
domingo pasado (22/6/03), pero no generó mucha atención hasta
que el investigador Kevin Finisterre, de Secure Network
Operations, confirmó que afectaba también al Internet
Explorer 6.

El ataque puede provocarse de una gran cantidad de maneras,
además de la mencionada de visualizar una página web
modificada. Por ejemplo, puede hacerse mientras la víctima
navega por un recurso compartido de red.

Algunos expertos aventuran que podría ser aprovechado por
algún nuevo gusano o troyano. Por otra Microsoft criticó que
no se le hubiera avisado de esta falla antes de hacerla
pública, para dar tiempo a sus programadores a corregirla.
Esta situación deja a sus clientes en grave riesgo.

Jamie Gillespie, un analista de seguridad, comentó esta
semana a la prensa, que aunque existe una posibilidad de
ejecutar código en forma arbitraria gracias a este error,
esto no había sido aún demostrado, y que por otra parte,
sería muy difícil hacerlo con éxito, sin conocer la
estructura interna del código del IE. A pesar de ello
reconoce que la vulnerabilidad es un riesgo importante.

La única solución efectiva sería el parche que aún no está
disponible.

Mientras tanto, los diferentes fabricantes de antivirus han
estado examinando la información disponible, para estar
preparados a interceptar un posible código malicioso que
explote esta vulnerabilidad del IE.

Para Gillespie, aunque casi todos los productos antivirus
examinan los archivos HTML en busca de código malicioso,
antes necesitan conocer como será ese código para ser
realmente efectivos.

Están afectadas todas las versiones del Internet Explorer 5.0
y 6.0, bajo todos los Windows.


* Referencias:

Re: Internet Explorer >=5.0 : Buffer overflow
http://archives.neohapsis.com/archives/bugtraq/2003-06/0198.html

Internet Explorer >=5.0 : Buffer overflow
http://archives.neohapsis.com/archives/bugtraq/2003-06/0173.html


Fuente:
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com



Otras noticias de interés:

El mes de los fallos en PHP ha desvelado ya 18 vulnerabilidades sin parche
El mes de los fallos en PHP ha publicado ya 35 vulnerabilidades en 28 días. 30 de ellos han sido encontrados en PHP, tres en la plataforma Zend y una en el módulo mod_security de Apache (los que el propio autor llama bonus). Afortunadamente...
Mitad de aplicaciones tienen problemas de seguridad
Un informe llevado a cabo por Veracode, indica que un gran número de aplicaciones mas o menos un 57% muestran problemas de seguridad. Los programadores deberían centrarse en securizar sus aplicaciones antes de entregarlas al cliente....
En la unión hace la fuerza, cuando se trata de Seguridad en la red
Los usuarios particulares de Internet, las empresas, gobiernos y fabricantes de tecnología, todos ellos necesitan centrarse aún más en la ciberseguridad y deben estar alerta sobre los peligros que representa....
Sony utiliza un rootkit que pone en riesgo la seguridad de sus clientes
La técnica utilizada por el software anticopia distribuido en algunos CDs de Sony BMG es similar a la empleada por especímenes de malware avanzados para evitar ser descubiertos por los antivirus....
La seguridad sigue siendo el reto de la virtualización
Mientras que la adopción de la virtualización de servidores sigue progresando a pasos agigantados, el esfuerzo por perfeccionar la seguridad en esta área apenas ha mostrado tímidos avances en 2009....
Intel lanza nuevos chips de alta velocidad para PCs de bajo coste
Intel Corp. reveló ayer la aparición de nuevos procesadores y chipsets diseñados para aportar cualidades hasta ahora sólo disponibles en PCs de alto precio a equipos comunes destinados al gran público. ...
Boletines de seguridad de Microsoft en marzo
Este martes pasado Microsoft publico tres boletines de seguridad (del MS11-015 y el MS11-017) correspondientes a su ciclo habitual de actualizaciones. Según la propia clasificación de Microsoft un boletín presenta un nivel de gravedad crític, m...
Ataques de inyección SQL acaparan interés
Cada vez son más los piratas informáticos que muestran su interés por llevar a cabo sus acciones delictivas a través de ataques de inyección SQL. Así lo desvela el Informe Hacker Intelligence Initiative realizado por Imperva....
Firefox tendrá auto-curación como Wolverine
La idea de un mecanismo que permita al software repararse a sí mismo no es para nada descabellada, sin embargo, los programas continúan escupiendo errores como si fuera el primer día. Esto es especialmente cierto entre los navegadores web, con ses...
Microsoft podría espiar conversaciones en Skype
La compra del programa líder en telefonía por Internet despertó recelos, que iban en la dirección del peligro de una posición dominante en un mercado con grandes expectativas de crecimiento: Microsoft, dueño del escenario VoIP, con las consigui...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • deja
  • desprotegidos
  • exploits
  • falla
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • grave
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • usuarios
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra