0DAY EN WINDOWS XP SP2 + IE 6.0 SP2 CON TODO PARCHEADO

www.seguridad0.com
Ayer, 19 de octubre, la lista Bugtraq publicaba un 0day para Windows
XP SP2 con Internet Explorer 6.0 SP2, totalmente parcheado.

Los detalles de cómo explotar esta vulnerabilidad se encuentran aquí

El resultado es que, mediante este método, es posible colocar código
arbitrario en cualquier fichero y en cualquier localización.

La información luego fue ampliada aquí:

El problema, como de costumbre, es que Microsoft no ha lanzado un
parche contra este grave bug. Y se espera que no lo haga hasta la
próxima actualización que, al ritmo que lleva, no se hará factible
hasta noviembre.

Hay una solución intermedia que no pasa por Microsoft, y que consiste
en aplicar este programa gratuito:
http://www.pivx.com/qwikfixDownload.asp que protege contra todo tipo
de exploits.

También se puede añadir unas líneas al Registro de Windows para
prevenir la prevención de controles ActiveX ejecutándose en Internet
Explorer (http://support.microsoft.com/?kbid$0797).

Hay una forma rápida de añadir las líneas al Registro de Windows,
descargando este parche:
http://www.pivx.com/research/freefi...plorer.reg

Sin embargo, lo más recomendable para los usuarios de Windows es la
migración a una versión de Windows que no sea XP, ya sea 2000 ó 2003,
donde, cuando menos, los problemas son menores y se garantiza la
seguridad. Y es que Windows XP está demostrando ser todo un fracaso,
antes y después de la aplicación de SP2 donde los problemas con el
software instalado se triplican.