Microsoft deja sin resolver dos grandes FALLOS CRITICOS de Internet Explorer

12/06/2004 - 15:14 por Ille Corvus | Informe spam
Microsoft deja sin resolver dos grandes fallos críticos de Explorer
http://www.noticiasdot.com/publicac...0604-5.htm


Microsoft acaba de publicar su habitual reporte de problemas de
seguridad, como viene haciendo desde hace algún tiempo el segundo
martes de cada mes. En él hace referencia a dos vulnerabilidades
consideradas de peligrosidad moderada, mientras olvida y deja sin
solución otras dos consideradas críticas y que son de dominio público.


Noticias relacionadas
Sergio de los Santos - El pasado día ocho de junio Microsoft hacía
público un boletín en el que alertaba de dos nuevas vulnerabilidades
conocidas a las que calificaba de moderadas. La primera hace
referencia al componente DirectPlay que permite una parada del
servicio si se ejecuta la aplicación en red. Afecta a todos los
sistemas operativos. La segunda habla de un fallo de seguridad en el
visor web Crystal Reports, incluido en paquetes como Visual Studio
.NET 2003 y Outlook 2003. El fallo permitiría bajo ciertas
circunstancias manipular archivos locales.

Aunque Microsoft haya puesto a disposición de todos parches para
solucionarlos y calificado estos problemas como moderados, ha obviado
contemplar dos vulnerabilidades mucho más graves descubiertas antes de
la publicación de ese boletín y que afectan a un programa mucho más
popular como es Internet Explorer. La empresa especializada en dar a
conocer fallos de seguridad Secunia, advertía en uno de sus boletines
de dos graves fallos de seguridad en Internet Explorer calificados
como críticos que permitían la ejecución de código en las víctimas y
para los que, tras la publicación del boletín de seguridad de
Microsoft el pasado martes, no existe solución oficial.

Uno de los fallos permite la ejecución de cualquier programa alojado
en el sistema de la víctima y del que se conozca su ruta. Otro de los
fallos permite ejecutar a través de Internet Explorer programas en la
zona de seguridad de "Local Machine" lo que implica acceso garantizado
a zonas sensibles del sistema operativo.

Estas vulnerabilidades, en combinación con otras conocidas del
navegador, permiten la ejecución de código arbitrario en las víctimas
con solo visitar un enlace determinado. Secunia reconoce que estas
vulnerabilidades están siendo utilizadas masivamente por spammers y
otros para la instalación silenciosa de "adware" (programas que emiten
publicidad no solicitada) en los sistemas de los usuarios.

Scunia ha podido confirmar los errores en el navegador Internet
Explorer parcheado contra todos los problemas de seguridad
oficialmente reconocidos hasta ahora.

Existen varias organizaciones y usuarios especializados que hablan de
hasta veinte vulnerabilidades no reconocidas oficialmente en el
navegador de Microsoft y a las que la empresa de Redmon aún no ha dado
solución. No es la primera vez que Microsoft "llega tarde" y deja
pasar más de un mes desde que se hace público un fallo hasta que emite
una solución para el problema.

Por ahora y hasta que presumiblemente se publique una solución en el
próximo boletín programado para el trece de julio, la única forma de
prevenir la vulnerabilidad es utilizar otro navegador o elevar el
nivel de seguridad del navegador para todas las páginas sospechosas.

Más información y referencias:

Internet Explorer Local Resource Access and Cross-Zone Scripting
Vulnerabilities
http://secunia.com/advisories/11793?menu=info

Vulnerability in DirectPlay Could Allow Denial of Service
http://www.microsoft.com/technet/se...4-016.mspx

Vulnerability in Crystal Reports Web Viewer Could Allow Information
Disclosure and Denial of Service
http://www.microsoft.com/technet/se...4-017.mspx

(*) Sergio de los Santos es miembro de la Comisión de Seguridad de la
Asociación de Internautas
http://seguridad.internautas.org/ar...mp;order=0

-

Mas enlaces relacionados:
http://www.laflecha.net/canales/seg...200406121/
http://iblnews.com/noticias/06/109291.html


Opinion: Usar otro navegador hasta que el proveedor de software saque
el parche que solucione las vulnerabilidades tan graves que tiene el
software.



Meritorios de Filtrado (Kill-File Global):
tella llop, jm (N.B. 2003.10.25)


"El software propietario sera solo para los que lo puedan pagar."
"El software libre es para toda la Humanidad."
 

Leer las respuestas

#1 .
12/06/2004 - 15:26 | Informe spam
x-no-archive:yes

Preguntas similares