Vulnerabilidad en IE al usar cualquier objeto COM


Según una alerta publicada por el US-CERT, Microsoft Internet Explorer (IE), puede intentar utilizar objetos COM que no están destinados para ser empleados en el navegador. Esto puede provocar una variedad de comportamientos no deseados en el sistema, tales como que el IE deje de responder.






Microsoft COM (Modelo de Objetos Componentes), es una
tecnología que permite a los programadores, crear elementos
reutilizables que pueden ser incorporados a diferentes
aplicaciones para extender su funcionalidad. Esto incluye
COM+, Distributed COM (DCOM), y controles ActiveX.

Los controles ActiveX son diseñados tradicionalmente para ser
utilizados en el Internet Explorer. Una página Web puede
hacer uso de un control ActiveX de diversas maneras, por
ejemplo haciendo referencia a él por su identificador de
clase (CLSID) en una etiqueta HTML (cada componente COM tiene
su CLSID en el registro de Windows).

El problema se produce porque Internet Explorer admite
cualquier objeto COM referenciado en un documento HTML, sin
importar si el mismo ha sido diseñado o no para ser utilizado
en el navegador.

La "instanciación" de ciertos objetos COM (término aplicado
en programación a la creación de un objeto a partir de una
clase específica), puede causar que IE falle. Otros objetos
COM podrían provocar efectos inesperados.

La cantidad de objetos COM vulnerables presentes en el
sistema, depende del software instalado, ya que probablemente
éste agregue más objetos COM vulnerables a los que de por sí
incorpora el propio Windows.

Si un atacante convence a un usuario para visualizar una
página Web o un correo electrónico con formato HTML creados
maliciosamente, podría llegar a ejecutar código arbitrario
con los mismos privilegios del usuario que inició la sesión
actual.

El atacante también podría hacer que Internet Explorer u otro
programa utilizado para ver el código anterior, se bloquee.

Una de las formas de minimizar este riesgo, es instalar
Internet Explorer 7, ya que el mismo agrega la opción
"ActiveX Opt-In". Se trata de una protección contra aquellos
controles ActiveX no autorizados, que deshabilita
automáticamente todos los controles que el usuario no ha
habilitado previamente, solicitándosele una confirmación a
través de la barra de información antes de tener acceso a los
mismos ("Instalar control ActiveX...").

Tenga en cuenta que utilizar otro navegador, no elimina IE de
un sistema Windows, y otros programas pueden invocar al
Internet Explorer, o a otros componentes de Windows
involucrados, tales como el WebBrowser ActiveX control
(WebOC), o el motor HTML (MSHTML).

No aceptar enlaces no solicitados y configurar el correo
electrónico para visualizarlo solo en modo texto, también
ayuda a proteger el sistema (en el Outlook Express y en
Windows Mail, esto se encuentra en Herramientas, Opciones,
Leer, seleccionando "Leer todos los mensajes como texto sin
formato").


* Relacionados:

Vulnerability Note VU#680526
Microsoft Internet Explorer can use any COM object
http://www.kb.cert.org/vuls/id/680526


* Créditos:

Shane Hird

Fuente:
Por Redacción VSAntivirus
http://www.vsantivirus.com

Otras noticias de interés:

Más sitios Hackeados por UHFTeam Argentina
La gente de UHFTeam Argentina en un foro de hack especificamente de: .hackemate.com.ar han dejado una lista de sistios hackeados por ellos. Entre los que estan: HVEN.com.ve, otv.org y muchos otros. A continuación la lista presentada por SerVerG ...
Microsoft relanza el parche de Internet Explorer
Luego de posponer el relanzamiento del parche MS06-042, de forma indefinida, hasta que el software esté listo, como dijo la propia compañía hace apenas dos días, finalmente se publicó la nueva versión de esta actualización....
CokeBoy, un virus de macro de Word que se reenvía por correo electrónico
CokeBoy, un nuevo virus de macro de Word que tiene como característica su capacidad para enviarse utomáticamente por correo electrónico. CokeBoy infecta documentos de Word97, Word2000 y WordXP. El virus se recibe incluido en un docu...
Nuevas versiones de Apache 1.3.* y 2.0.*
Se acaban de publicar dos actualizaciones de Apache, para las ramas 1.3.* y 2.0.*. Estas actualizaciones solucionan varios problemas de seguridad....
Microsoft lanza herramientas de seguridad gratuitas
Microsoft ha lanzado un conjunto de herramientas para los administradores TI que ayudan a asegurar las aplicaciones de la compañía no parcheadas y algunos programas de terceros....
"IMPORTANTE" Guía de operaciones de seguridad para Windows 2000 Server
A medida que evolucionan los sistemas de TI, también lo hacen las amenazas a la seguridad que estos pueden sufrir. Para proteger su entorno de forma eficaz contra los ataques, necesita conocer con detalle los peligros con los que puede encontrarse. ...
El viernes 22-04 el Flisol 2016 - Valencia - Carabobo
La gente de Vaslibre, invita al Festival de Instalación de Software Libre en Valencia, Carabobo, Venezuela....
Cómo proteger su privacidad ahora que Facebook es mas social
Facebook anunciaba esta semana que se vuelve más social y que potenciará la interoperabilidad con otras páginas web. Algo que, de nuevo, obliga al usuario a revisar la política de privacidad y a acometer algunos cambios si no quiere que todos sus...
buscar informacion
buenas buenas, la razon de este mensaje es para darle animos a todos a q manden programas hechos por ustedes con el código fuente para que así las personas se animen y entiendan la manera de como funcionan las cosas; lo cual despues de todo no es t...
Los hackers se lanzan contra la brecha más reciente de IE7
Los atacantes están explotando ya una vulnerabilidad de Internet Explorer 7 (IE7) que Microsoft parcheó hace tan sólo una semana, según han advertido varios investigadores especializados en seguridad....

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • cualquier
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • objeto
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • usar
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidad
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra