Nueva actualización acumulativa para Internet Explorer


Dentro del reciente conjunto de vulnerabilidades anunciadas por Microsoft, y del que ya hicimos un adelanto en el una-al-día de ayer, se incluye una actualización acumulativa para Internet Explorer. Como suele ser habitual este parche incluye todas las actualizaciones anteriormente publicadas para Internet Explorer 5.01, Internet Explorer 5.5, e Internet Explorer 6.0. Además, de forma adicional este parche elimina cinco nuevas vulnerabilidades.





Tres de ellas tienen relación con el modelo se seguridad de dominios
cruzados de Internet Explorer, que impide que ventanas de diferentes
dominios compartan información. Estas vulnerabilidades pueden permitir
la ejecución de scripts en la zona de seguridad Local. Para explotar
cualquiera de estas vulnerabilidades, el atacante deberá disponer de
un sitio web malicioso con una página web creada para explotar la
vulnerabilidad particular y persuadir al usuario para visitar la
página web. El atacante también podrá crear un e-mail html diseñado
para explotar una de estas vulnerabilidades. Una vez que el usuario
visite el sitio web o el e-mail malicioso el atacante podrá acceder a
la información de otros sitios web, acceder a archivos del sistema del
usuario e incluso ejecutar código en el sistema del usuario.

Otra de las vulnerabilidades tiene relación con la forma en que la
información de la zona se para a un objeto XML dentro de Internet
Explorer. Esta vulnerabilidad puede permitir a un atacante la lectura
de archivos locales en el sistema del usuario. Para explotar esta
vulnerabilidad un atacante deberá disponer de un sitio web malicioso
con una página web creada para explotar la vulnerabilidad particular y
persuadir al usuario para visitar la página web. El atacante también
podrá crear un e-mail html diseñado para explotar esta vulnerabilidad.
Una vez que el usuario visite el sitio web o el e-mail malicioso el
usuario será preguntado para descargar un archivo html. Si el usuario
acepta la descarga de este archivo, el atacante podrá leer archivos
locales que se encuentren en una ruta conocida del sistema del
usuario.

La ultima de las vulnerabilidades corregidas está relacionada con las
operaciones de arrastrar y soltar durante eventos html dinámicos en
Internet Explorer. Esta vulnerabilidad puede permitir que si el
usuario pulsa en un enlace se grabe un archivo en una localización
destino del sistema del usuario. Al usuario no se le presenta ningún
cuadro de diálogo para que el usuario apruebe la descarga. Para
explotar esta vulnerabilidad un atacante deberá disponer de un sitio
web malicioso con una página web que contenga un enlace especialmente
creado para explotar la vulnerabilidad particular y persuadir al
usuario para visitar dicha página web. El atacante también podrá crear
un e-mail html diseñado para explotar esta vulnerabilidad. Una vez que
el usuario visite el sitio web o el e-mail malicioso el usuario y
pulse el enlace malicioso se grabará en el sistema del usuario el
código o programa que desee el atacante.

Actualizaciones publicadas:

Internet Explorer 6 Service Pack 1:
http://www.microsoft.com/downloads/details.aspx?FamilyId=9D8543E9-0E2B-46C9-B6C6-12DE03860465&displaylang=en
Internet Explorer 6 Service Pack 1 (64-Bit Edition):
http://www.microsoft.com/downloads/details.aspx?FamilyId=35F99CF5-3629-4E0E-BF60-24845D2D20C9&displaylang=en
Internet Explorer 6 Service Pack 1 para Windows Server 2003:
http://www.microsoft.com/downloads/details.aspx?FamilyId=7D0D02DD-8940-48E0-B163-3FCDCB558F21&displaylang=en
Internet Explorer 6 Service Pack 1 para Windows Server 2003 (64-Bit Edition):
http://www.microsoft.com/downloads/details.aspx?FamilyId=8BEFA1EC-0C48-4B65-989D-58B0CE1E6F95&displaylang=en
Internet Explorer 6:
http://www.microsoft.com/downloads/details.aspx?FamilyId=4C4D22F0-FBF7-4EA6-9CC2-27D104D4198E&displaylang=en
Internet Explorer 5.5 Service Pack 2:
http://www.microsoft.com/downloads/details.aspx?FamilyId=E438AFD4-DF70-448C-8925-1075C8BE6C5E&displaylang=en
Internet Explorer 5.01 Service Pack 4:
http://www.microsoft.com/downloads/details.aspx?FamilyId=C15E2DB3-14E2-43A4-A1A1-676374B66517&displaylang=en
Internet Explorer 5.01 Service Pack 3:
http://www.microsoft.com/downloads/details.aspx?FamilyId=F4853D8F-F66C-4D8A-9979-3B4F540F90A8&displaylang=en
Internet Explorer 5.01 Service Pack 2:
http://www.microsoft.com/downloads/details.aspx?FamilyId=221616D4-5893-4DA4-A223-B0DE548D6D83&displaylang=en

Más información:

Cumulative Update for Internet Explorer
http://www.microsoft.com/technet/security/bulletin/ms03-048.asp

Fuente:
Antonio Ropero
antonior@hispasec.com

Otras noticias de interés:

Denegación de servicio en Apache a través de Range header
Se ha publicado un sencillo exploit que permite provocar una denegación de servicio en todas las versiones de Apache. Esto significa que se puede dejar sin servicio a los servidores web Apache con la configuración por defecto. De nuevo el responsab...
Datos personales: Esos livianos e inquietos pajarillos
Parece que los datos privados de las personas son, sí, cual pájaros de rápidos vuelos, a juzgar por la frecuencia con la que se pierden. ...
El Día del Software Libre se celebra mañana en Chile y el mundo
En 160 ciudades de los cinco continentes, simultáneamente, se celebrará el Día Internacional del Software Libre este 23 de septiembre, al que también se suma Santiago de Chile para educar al público sobre las virtudes y disponibilidad de este ti...
La sombra digital ya supera la huella digital, según EMC
Nuevos datos proporcionados por EMC demuestran que por primera vez la cantidad de información que se genera sobre una persona es mayor a la cantidad de información creada por la misma. ...
Exploit Microsoft Windows Metafile (WMF) Image Handling Remote (MS05-053)
Frsirt.com ha publicado el exploit para la vulnerabilidada MS05-053 (Vulnerabilities in Graphics Rendering Engine Could Allow Code Execution (896424) del cual informo microsoft el día 8/11/2005....
TuxInfo #24 Publicada
Una nueva entrega de Tuxinfo ha sido publicada. Esta revista se ha convertido en un referente para muchos usuarios que día a día van aprendiendo de sus noticias, trucos, tips y recomendaciones. Te invito a apoyar Tuxinfo....
Captcha filtrará bots y trolls
La organización de derechos humanos Defensores de los Derechos Civiles lanzó un captcha de texto que promete acabar con los bots y los trolls por igual, pues para comprobar que eres un ser humano te pregunta acerca de cuál es la respuesta apropiad...
¿Puertas traseras en Windows Vista? ¡Por encima de mi cadáver...!
Quien así se manifiesta es Niels Ferguson, criptógrafo holandés que trabaja para Microsoft, en respuesta a recientes informaciones sobre la posibilidad de que el Reino Unido hubiera solicitado que existiese una puerta trasera en Windows Vista para...
Webcams ayudan a prevenir accidentes aéreos en Alaska
Volar con mal tiempo es la principal causa de los accidentes aéreos que ocurren en Alaska. En estas latitudes se producen accidentes aéreos cada diez días. Para combatir este problema, la Administración Federal de Aviación (FAA, por su siglas en...
Hacia un mundo sin contraseñas de inicio
Investigadores de la Universidad de Alabama, en Birmingham, están trabajando para lograr un acceso seguro y fácil para los usuarios sin usar contraseñas, informa el portal científico PhysOrg. ...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • actualizacion
  • acumulativa
  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • explorer
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • nueva
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra