Cinco fallas en el IE que comprometen la seguridad


Múltiples vulnerabilidades han sido reportadas en Microsoft Internet Explorer, que implican riesgos como los de exponer información sensible a terceros, o la ejecución arbitraria de código en forma remota.





Estas cinco fallas fueron reveladas por el investigador de seguridad Liu Die Yu, y combinándolas, algún sitio web malicioso, o cualquier virus o troyano, podrían eludir las zonas de seguridad impuestas en el Internet Explorer 6 (y posiblemente también versiones anteriores). Una de las fallas, se produce por cierta facilidad de redirección implementada en el Internet Explorer, que utiliza "mhtml:", y que podría ser explotada para eludir la comprobación de seguridad del programa, que normalmente bloquea las paginas web en la zona "Internet" al examinar archivos locales. Esta característica de redirección, podría ser explotada además, para descargar y ejecutar cualquier archivo en el equipo del usuario, lo que incluye posibles virus o troyanos. Para que esta explotación sea exitosa, el script se deberá ejecutar en la zona de seguridad local (Mi PC). Otra de las fallas, es una vulnerabilidad del tipo CROSS- SITE-SCRIPTING, que permite a un atacante introducir en el campo de un formulario o código embebido en una página un script, que podría ser ejecutado en una zona de seguridad asociada con otra página web que contenga submarcos (frames). Esto incluye la posibilidad de ejecutar código en la zona de seguridad local, "Mi PC". También existe una variante de una vulnerabilidad ya corregida en parches anteriores, que permite la captura de los clics del usuario, para ejecutar código sin el conocimiento de éste. Además, puede ser explotado un error en cierta característica de descarga de archivos, que se produce al dar un valor inválido a la cabecera "Content-Type". Esto podría exponer el contenido del directorio caché del usuario, lugar donde se almacena información sensible. Esta última falla no afecta a todas las versiones y habría sido solucionada en el último parche acumulativo del Internet Explorer. Estas cinco fallas, son catalogadas como muy críticas, sin embargo, no se espera que Microsoft realice una actualización antes de la fecha prevista en su nuevo plan de actualizaciones mensuales, salvo por supuesto, que alguna de ellas sea notoriamente explotada. Todas esas vulnerabilidades han sido comprobadas en Internet Explorer 6.0, pero versiones anteriores también podrían ser afectadas. La solución momentánea, es desactivar el Active Scripting del Internet Explorer. La configuración recomendada en el siguiente artículo de VSAntivirus, previene la acción de todas estas fallas, y además protege contra otros riesgos: Navegando más seguros y sin molestos Pop-Ups con el IE http://www.vsantivirus.com/faq-sitios-confianza.htm * Referencias: Cinco graves fallas en el IE, ponen en riesgo a su PC http://www.enciclopediavirus.com/noticias/verNoticia.php?id=347 Internet Explorer System Compromise Vulnerabilities http://www.secunia.com/advisories/10289/ Vulnerabilities in Internet Explorer http://www.safecenter.net/UMBRELLAWEBV4/DirSvc/security/origi nality/microsoft_ie/index.html Fuente: (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com

Otras noticias de interés:

Corrigiendo las molestias del MS-Windows Vista
No hay duda alguna: visualmente, Windows Vista representa un gran avance frente a Windows XP. La mayoría de los usuarios que han instalado Vista han quedado impresionados por los esfuerzos que Microsoft ha realizado para mejorar la facilidad de uso ...
PCs desprotegidos son detectados en sólo 20 minutos por intrusos
Estudio sobre seguridad informática concluye que los usuarios Internet no alcanzan siquiera a instalar las últimas actualizaciones de seguridad antes de que sus máquinas sean objeto de ataques externos...
http:/// provoca DoS en Opera
Podría decir que estaba haciendo algún estudio de seguridad o dándole al fuzzing, que está de moda, pero la realidad es que he detectado el bug de forma totalmente circunstancial. En pocas palabras, Opera consume toda la CPU y se va comiendo la R...
HTTP Parameter Pollution
Por todos es conocido que los servidores web son uno de mayores objetivos de los ataques de hoy en día. El dinero y los datos accesibles a través de los portales web, con la finalidad de ofrecer un servicio, una vez más, se ven afectados por una n...
FELIZ CUMPLEAÑOS SPY
Hoy 03-06-2004 cumpleaños nuestro amigo y compañero de lides SPY. Recibe cordialmente un fuerte abrazo de tus compañeros de Team y que cumplas muchos más... quienes deseen felicitar a Spy pueden hacerlo a:...
El Gran Hermano de los email
Tomemos, por ejemplo, la idea del software que comprueba si alguien ha leído su email. Suena como si fuera una función muy sencilla: usted le envía un email a alguien y luego recibe respuesta, ya sea mediante un mensaje separado o programa, una ve...
Privacidad de los datos
En un mundo cada vez más interconectado, de información instantánea y servicios en la nube; la sobrecarga de la información y la pérdida de privacidad son amenazas que ya no pueden pasar desapercibidas. En este contexto, el concepto de privacida...
Contramedidas prácticas para las últimas vulnerabilidades de Microsoft
Desde estas líneas hemos advertido ya en muchas ocasiones sobre las nuevas tendencias del malware y la cada vez más preocupante aparición de vulnerabilidades 0 day o problemas de seguridad para los que no existe parche pero sí forma de apr...
Mozilla anuncia la disponibilidad de su navegador de código abierto Phoenix 0.1
El proyecto de desarrollo de Mozilla, mozilla.org, ha presentado Phoenix 0.1, una versión más rápida de su navegador web de código abierto....
Google ofrecerá conexiones Wifi gratis en los EEUU
La primera ciudad que cubrirán será San Francisco. Se trata de un derecho fundamental para todos los ciudadanos, dijo un emocionado alcalde. Cómo pueden los usuarios crear y publicar su página web con Google...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • cinco
  • comprometen
  • computer
  • debian
  • exploits
  • fallas
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra