Los parches de MS06-042 pueden impedir la visualización de ciertas páginas con Internet Explorer

20/08/2006 - 16:50 por Gus | Informe spam
Dentro de los doce boletines de seguridad publicados el pasado día 8
de agosto, el MS06-042 escondía una actualización para ocho problemas
de seguridad descubiertos en el navegador Internet Explorer, con
varias de estas vulnerabilidades calificadas como críticas. La
solución a estos problemas en forma de parche acumulativo ha
introducido un nuevo error que hace que el navegador deje de responder
al visitar ciertas páginas.

Los usuarios de Windows 2000 SP4 y XP SP1 que hayan aplicado este
parche, habrán observado un comportamiento errático del navegador al
visitar ciertas webs. El navegador informa de un error irreparable y
se cierra de forma abrupta, impidiendo la visualización de la página.
Aunque este fallo podría considerarse como una "denegación de
servicio", no parece que en principio permita ser aprovechado por
atacantes para ejecutar ningún otro tipo de acción que pueda
comprometer el sistema. Es importante destacar que el problema no
afecta a los usuarios de Windows XP con el Service Pack 2 instalado,
que no sufrirán este error y por tanto no tendrán que realizar ninguna
acción al respecto.

Este inconveniente ha sido reconocido por Microsoft, admitiendo que ha
sido introducido inadvertidamente con la última actualización
acumulativa para Internet Explorer. El fallo se da en las páginas que
acepten el uso de la versión 1.1 del protocolo HTTP además de
compresión de tráfico. Estas dos circunstancias no son manejadas
correctamente por el navegador si ha sido actualizado con los parches
del boletín MS06-042 (acción más que recomendada).

Microsoft ha creado un "hotfix" que soluciona el problema, pero no lo
ha hecho público para descarga (sólo está disponible a través de la
línea de soporte del fabricante). Mientras, como contramedida, los
usuarios pueden desactivar el uso de la versión 1.1 del protocolo en
el navegador. Esto se consigue a través de las "Opciones de Internet"
en la pestaña "Opciones avanzadas". En este menú es necesario
desactivar la opción "Usar HTTP 1.1". Si realmente es este el origen
del problema, las páginas "problemáticas" deberían poder ser visitadas
sin problemas.

En cualquier caso, Microsoft planea una nueva publicación del parche
el día 22 de agosto, que no contendrá este fallo y que estará
disponible a través de los canales habituales de distribución de
parches públicos. Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/2856/comentar

Más Información:

Internet Explorer 6 Service Pack 1 unexpectedly exits after you
install the 918899 update
http://support.microsoft.com/kb/923762/
Sergio de los Santos


Fuente: http://www.hispasec.com/unaaldia/2856
 

Leer las respuestas

#1 Javier Inglés [MS MVP]
20/08/2006 - 19:43 | Informe spam
Llegas como semana y media tarde, ya estaba esto publicado y comentado de
antes (y con información de la propia fuente, es decir, MS...)

Salu2!!!
Javier Inglés
MS MVP, Windows Server-Directory Services
http://mvp.support.microsoft.com/default.aspx

:
<<<QUITAR "NOSPAM" PARA MANDAR MAIL>>>

Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no
otorga ningún derecho

"Gus" escribió en el mensaje
news:
Dentro de los doce boletines de seguridad publicados el pasado día 8
de agosto, el MS06-042 escondía una actualización para ocho problemas
de seguridad descubiertos en el navegador Internet Explorer, con
varias de estas vulnerabilidades calificadas como críticas. La
solución a estos problemas en forma de parche acumulativo ha
introducido un nuevo error que hace que el navegador deje de responder
al visitar ciertas páginas.

Los usuarios de Windows 2000 SP4 y XP SP1 que hayan aplicado este
parche, habrán observado un comportamiento errático del navegador al
visitar ciertas webs. El navegador informa de un error irreparable y
se cierra de forma abrupta, impidiendo la visualización de la página.
Aunque este fallo podría considerarse como una "denegación de
servicio", no parece que en principio permita ser aprovechado por
atacantes para ejecutar ningún otro tipo de acción que pueda
comprometer el sistema. Es importante destacar que el problema no
afecta a los usuarios de Windows XP con el Service Pack 2 instalado,
que no sufrirán este error y por tanto no tendrán que realizar ninguna
acción al respecto.

Este inconveniente ha sido reconocido por Microsoft, admitiendo que ha
sido introducido inadvertidamente con la última actualización
acumulativa para Internet Explorer. El fallo se da en las páginas que
acepten el uso de la versión 1.1 del protocolo HTTP además de
compresión de tráfico. Estas dos circunstancias no son manejadas
correctamente por el navegador si ha sido actualizado con los parches
del boletín MS06-042 (acción más que recomendada).

Microsoft ha creado un "hotfix" que soluciona el problema, pero no lo
ha hecho público para descarga (sólo está disponible a través de la
línea de soporte del fabricante). Mientras, como contramedida, los
usuarios pueden desactivar el uso de la versión 1.1 del protocolo en
el navegador. Esto se consigue a través de las "Opciones de Internet"
en la pestaña "Opciones avanzadas". En este menú es necesario
desactivar la opción "Usar HTTP 1.1". Si realmente es este el origen
del problema, las páginas "problemáticas" deberían poder ser visitadas
sin problemas.

En cualquier caso, Microsoft planea una nueva publicación del parche
el día 22 de agosto, que no contendrá este fallo y que estará
disponible a través de los canales habituales de distribución de
parches públicos. Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/2856/comentar

Más Información:

Internet Explorer 6 Service Pack 1 unexpectedly exits after you
install the 918899 update
http://support.microsoft.com/kb/923762/
Sergio de los Santos


Fuente: http://www.hispasec.com/unaaldia/2856



Preguntas similares