Descubren nuevas vulnerabilidades en el navegador de Internet de Microsoft

02/12/2003 - 13:10 por Ille Corvus | Informe spam
Tal y como recomienda el articulo desactivar el Scripting, o
instalarse un navegador alternativo hasta que el proveedor de software
saque un parche para arreglar el problema.


Fuente: http://iblnews.com/noticias/12/93713.html
-
La versión 6.0 del navegador de Internet de Microsoft 'Internet
Explorer' presenta varias vulnerabilidades que, usadas de forma
combinada, podrían permitir a un atacante tomar control del ordenador
del usuario, según informó el laboratorio especializado en Seguridad y
Tecnologías de la Información Hispasec.

Lunes, 1 diciembre 2003
IBLNEWS, HISPASEC
1) La característica de redirección utilizando la cabecera "mhtml:"
del URI puede ser explotada para esquivar una comprobación de
seguridad en el Internet Explorer que normalmente evita que las
páginas web en la zona "Internet" interprete archivos locales.
2) La característica anteriormente mencionada también puede ser
explotada para ejecutar un archivo malicioso en el sistema del
usuario. La explotación con éxito requiere que se pueda ejecutar
código script en la zona "MyComputer".

3) Una vulnerabilidad de cross-site scripting puede ser utilizada para
ejecutar código en la zona de seguridad asociada con otra página si
ésta contiene un subframe. Esto podría permitir la ejecución de código
arbitrario en la zona "MyComputer".

4) Una variante de una vulnerabilidad "corregida" puede ser explotada
para secuestrar los cliks de usuario y realizar ciertas acciones sin
el conocimiento de este.

5) Un error en la funcionalidad de descarga puede ser explotada para
visualizar el directorio de cache del usuario utilizando una extensión
de fichero "htm" y un valor no válido en el campo de cabecera
"Content-Type". Esto no afecta a todas las versiones y puede haber
sido corregida en la última actualización del Internet Explorer.

Estas vulnerabilidades han sido confirmadas en Internet Explorer 6,
aunque otras versiones anteriores podría verse afectadas. La gravedad
del asunto aumenta ya que se tiene constancia de que hay códigos de
explotación circulando por la red.

Mientras Microsoft publica un parche de actualización que corrija
estos problemas, se recomienda desactivar el scripting de todos
lugares a los que se acceda excepto de los de confianza.
-


Ille Corvus. Hic et Nunc.
 

Leer las respuestas

#1 Anonimo
02/12/2003 - 17:57 | Informe spam
Humberto Espartaco: Google no te olvida.

es.ciencia.medicina.depresion





Tal y como recomienda el articulo desactivar el


Scripting, o
instalarse un navegador alternativo hasta que el


proveedor de software
saque un parche para arreglar el problema.


Fuente: http://iblnews.com/noticias/12/93713.html
-
La versión 6.0 del navegador de Internet de


Microsoft 'Internet
Explorer' presenta varias vulnerabilidades que, usadas de


forma
combinada, podrían permitir a un atacante tomar control


del ordenador
del usuario, según informó el laboratorio especializado


en Seguridad y
Tecnologías de la Información Hispasec.

Lunes, 1 diciembre 2003
IBLNEWS, HISPASEC
1) La característica de redirección utilizando la


cabecera "mhtml:"
del URI puede ser explotada para esquivar una


comprobación de
seguridad en el Internet Explorer que normalmente evita


que las
páginas web en la zona "Internet" interprete archivos


locales.
2) La característica anteriormente mencionada también


puede ser
explotada para ejecutar un archivo malicioso en el


sistema del
usuario. La explotación con éxito requiere que se pueda


ejecutar
código script en la zona "MyComputer".

3) Una vulnerabilidad de cross-site scripting puede ser


utilizada para
ejecutar código en la zona de seguridad asociada con otra


página si
ésta contiene un subframe. Esto podría permitir la


ejecución de código
arbitrario en la zona "MyComputer".

4) Una variante de una vulnerabilidad "corregida" puede


ser explotada
para secuestrar los cliks de usuario y realizar ciertas


acciones sin
el conocimiento de este.

5) Un error en la funcionalidad de descarga puede ser


explotada para
visualizar el directorio de cache del usuario utilizando


una extensión
de fichero "htm" y un valor no válido en el campo de


cabecera
"Content-Type". Esto no afecta a todas las versiones y


puede haber
sido corregida en la última actualización del Internet


Explorer.

Estas vulnerabilidades han sido confirmadas en Internet


Explorer 6,
aunque otras versiones anteriores podría verse afectadas.


La gravedad
del asunto aumenta ya que se tiene constancia de que hay


códigos de
explotación circulando por la red.

Mientras Microsoft publica un parche de actualización que


corrija
estos problemas, se recomienda desactivar el scripting de


todos
lugares a los que se acceda excepto de los de confianza.
-


Ille Corvus. Hic et Nunc.
.

Preguntas similares