Vulnerabilidad en control de instalación ActiveXen MS - Internet Explorer


Ha sido identificada una vulnerabilidad en Microsoft Internet Explorer, que puede ser explotada por un atacante remoto para tomar el control total del sistema infectado.





El problema está ocasionado por una "Race condition" o
"condición de desincronización" (un evento se produce fuera
del periodo previsto, con un resultado imprevisible), cuando
se le pregunta al usuario para instalar o ejecutar controles
ActiveX.

Personas maliciosas pueden utilizar esta vulnerabilidad para
manipular la ventana de diálogo que muestra el Internet
Explorer, y comprometer de forma remota un sistema
vulnerable, si convence al usuario que visita una página Web
modificada por el atacante, para que realice determinadas
acciones, como por ejemplo ingresar un texto en un campo
específico. Esto puede causar que un control ActiveX se
instale o se ejecute inadvertidamente.

Un exploit como prueba de concepto, ha sido publicada en
Internet.

* Software afectado:

- Microsoft Internet Explorer 6 SP1 (Windows XP SP1)
- Microsoft Internet Explorer 6 (Windows Server 2003)
- Microsoft Internet Explorer 6 SP1 (Windows 2000 SP3)
- Microsoft Internet Explorer 6 SP1 (Windows 2000 SP4)
- Microsoft Internet Explorer 5.01 SP4 (Windows 2000 SP4)
- Microsoft Internet Explorer 6 SP1 (Windows 98)
- Microsoft Internet Explorer 6 SP1 (Windows 98 SE)
- Microsoft Internet Explorer 6 SP1 (Windows Millennium)
- Microsoft Internet Explorer 5.5 SP2 (Windows Millennium)

* Software NO afectado:

La vulnerabilidad NO afecta a Windows XP SP2 ni a Windows
2003 SP1.

* Soluciones:

No se conocen parches oficiales para esta vulnerabilidad al momento de publicarse esta alerta.

* Referencias:

Microsoft Internet Explorer ActiveX Control Dialog Box Security Bypass Vulnerability
http://www.frsirt.com/english/advisories/2006/1559

FrSIRT / Public Mailing Lists Mirror
http://www.frsirt.com/english/reference/10913

* Créditos:

Matthew Murphy

Fuente:
Por Angela Ruiz
vsantivirus.com



Otras noticias de interés:

Los ordenadores personales serán cada vez más íntimos.
El ordenador personal del futuro será muy diferente del actual. Se llevará puesto y se adiestrará como a un perro. Estará dotado de Inteligencia Artificial y contará con algunas capacidades cognitivas (como razonamiento, “sentido común” y a...
Troyano bancario captura en vídeo la pantalla del usuario
Se han detectado varios troyanos que realizan un vídeo de la pantalla del usuario mientras éste se autentica para entrar en su cuenta bancaria por Internet. Esta funcionalidad representa un salto cualitativo en la peligrosidad de los troyanos...
WordPress.com recibe un ataque de denegación de servicio
El servicio de blogs WordPress.com sufrió durante cuatro días un ataque DoS que impidió a los usuarios conectarse o subir posts a sus bitácoras....
Obama vetará proyecto sobre seguridad cibernética
La propuesta, que será votada esta semana, permitiría al gobierno de los EEUU y a las empresas compartir información sobre ataques de piratas informáticos....
10 predicciones de seguridad para 2011
El amigo Sergio Hernando desde su blog (Seguridad de la Información y Auditoría de Sistemas) ha escrito en forma sencilla lo que él piensa que son las 10 principales predicciones en torno a la seguridad para año venidero....
Publicado el manual de securización de navegadores
INTECO-CERT ha facilitado al usuario la mejora de la seguridad cuando navega a través de Internet, mediante la creación de un amplio manual donde se recogen las principales características de seguridad, así como los pasos a seguir para aplicarlas...
Spam y phishing continúan creciendo, según Symantec
Symantec acaba de presentar su informe mensual acerca de la situación del spam y el phishing, del que se desprenden conclusiones como el hecho de que en octubre de este año el volumen de spam creció un 87 por ciento, o que las actividades de phish...
IOS Cisco vulnerable a ataques a través de paquetes IPv4
Cisco Systems ofrece soluciones de conectividad para redes, tanto de hardware como de software, como por ejemplo Cisco IOS, un sistema operativo que brinda servicios de conectividad para que las aplicaciones trabajen en ambientes de red....
El delito informático evoluciona muy rápido
Pocos son los ciudadanos que reparan en ello, pero las formas de delito y su comisión se multiplican a través de Internet. Aunque con años de retraso, la Justicia ha comenzado a poner remedio con el nombramiento de fiscales especializados en delin...
Internet Explorer 7 versión final, para finales de año
La nueva versión corrige más de 1000 bugs, mejora la gestión de los controles ActiveX y la seguridad en general, y por primera vez podrá ser instalado como una actualización automática....

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • activexen
  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • control
  • debian
  • exploits
  • explorer
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • instalacion
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidad
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra