Microsoft publica la esperada actualización para Internet Explorer


Microsoft ha publicado el parche de actualización para la vulnerabilidad de Internet Explorer que Hispasec anunció hace
prácticamente un mes y que permitía la ejecución de código arbitrario en sistemas Windows con Internet Explorer con tan solo visitar una página.





La compañía norteamericana finalmente ha publicado el parche
acumulativo de actualización que corrige la grave vulnerabilidad de la
etiqueta Object. Recomendamos encarecidamente la instalación de dicho
parche, ya que como ya comentábamos en el una-al-día del 7 de
septiembre, dicho error permite la ejecución de forma transparente de
código arbitrario.

Tal y como ya describíamos en Hispasec, la vulnerabilidad se debe a la
falta de comprobación correcta del tipo de objeto devuelto por un
servidor web en una ventana emergente. Un atacante puede, de esa
manera, hacer creer a Internet Explorer que cualquier ejecutable es
seguro y lanzarlo de forma automática sin pedir autorización alguna
al usuario.

El parche también modifica el método que IE utiliza para controlar el
comportamiento del HTML dinámico en la zona restringida, ya que
también se permitiría ejecutar código script en el contexto de
seguridad de la zona Internet.

Utilizando la vulnerabilidad antes descrita, un atacante podría
utilizar la capacidad de apertura de URLs del Windows Media Player
para construir un ataque. Por ello, Microsoft recomienda también la
instalación de un parche de actualización para el Media Player que
restringe la habilidad de dicho programa para lanzar URLs en la zona
de la máquina local desde otras zonas.

Si se quiere comprobar la gravedad de la vulnerabilidad descrita (con
test inocuos pero reveladores), recomendamos pasar los test que
Hispasec creó a tal efecto en la siguiente dirección:
http://www.hispasec.com/unaaldia/1778

Una vez instalado el parche, el problema de ejecución transparente
desaparecerá, tal y como se verá si se pasan de nuevo los test.

La dirección de descarga del parche para todos los sistemas menos
Windows 2003 Server es la siguiente:
http://www.microsoft.com/windows/ie/downloads/critical/828750/default.asp

La dirección con el parche específico para Windows 2003 Server:
http://www.microsoft.com/windows/ie/downloads/critical/828750s/default.asp

Si se desea actualizar también el Windows Media Player:
http://www.microsoft.com/windows/windowsmedia/download/default.asp

Más información:

Alerta: Agujero crítico en Internet Explorer
http://www.hispasec.com/unaaldia/1778

Security Update for Microsoft Internet Explorer
http://www.microsoft.com/security/security_bulletins/ms03-040.asp

Fuente: Hispasec

Otras noticias de interés:

Escalada de privilegios en función del API de Microsoft Windows XP
Se han detectado diversas vulnerabilidades en una función nativa del API (Application Program Interface) del núcleo de Windows XP que permitiría a un usuario con el privilegio SeDebugPrivilege ejecutar código en modo kernel, además de poder le...
Cómo buscar información en Internet
Interesante artículo sobre el tema. En el pasado, la elaboración de un trabajo de investigación consistía en una pesada labor de lectura y procesamiento de artículos, notas, enciclopedias, periódicos, apuntes, libros y demás materiales impreso...
Se descubre una nueva vulnerabilidad en XP y Server 2003
Se ha encontrado un agujero de seguridad en el software de Microsoft que puede ser aprovechado para provocar ataques de denegación de servicio en determinadas aplicaciones. El problema ha sido descubierto por el suministrador de soluciones de seguri...
JAVA fuera de los repositorios de Ubuntu
Canonical anunció que retirara todos los paquetes de Sun JDK del repositorio Canonical Partner. Esto se debe a que Oracle ha retirado la licencia de distribucion de Java para Sistemas operativos y Canonical ya no tiene permiso para distribuir estos ...
Próximo Curso PHP, Valencia (28 y 29 Febrero)
Está pautado a realizarse los días Sábado 28 de Febrero y Domingo 29 de Febrero del presente año, en el Instituto de Diseño Charles worth, Ciudad de Valencia, Carabobo. ...
Detección y evitación de proxies anónimos
De utilidad para administradores, trata sobre cómo detectar y evitar el acceso hacia/desde la organización a servicios de anonimato comunes, incluyendo TOR, PHPPRoxy, CGIProxy y Glype, además del uso de traductores, falsas VPNs, SSH y proxies dom...
Exploit PHP-NUKE Injection
Blade creó un exploit en php para poder hackear paginas nukeadas. El exploit es de fácil uso y da muy buenos resultados. lo puedes conseguir en http://www.adictosnet.com.ar/nu...
FUDcon Valencia2012 (Venezuela)
Estamos en la recta final para poder solicitar patrocinio para poder ir a esta gran evento, en este puedes aprender muchas cosas y logar hacer contacto para hacer desarrollo de software libre, evorock y yo hemos solicitado a ver si tenemos suerte de ...
Microsoft alerta sobre ataques a Win XP
Microsoft ha urgido a los usuarios de Windows a aplicar los parches incluidos en su último boletín de seguridad, emitido ayer. El motivo es que la compañía ha detectado ya más de 25.000 ataques dirigidos contra uno de los agujeros críticos resu...
Boletines de seguridad de Microsoft en septiembre.
Este martes Microsoft ha publicado cinco boletines de seguridad (del MS09-045 al MS09-049) correspondientes a su ciclo habitual de actualizaciones. Según la propia clasificación de Microsoft todos ellos presentan un nivel de gravedad crítico. En t...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • actualizacion
  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • esperada
  • exploits
  • explorer
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • publica
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra