Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
  

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

       

Dos vulnerabilidades en Internet Explorer
 
VSantivirus No. 1595 Año 8, jueves 18 de noviembre de 2004

 Dos vulnerabilidades en Internet Explorer
http://www.vsantivirus.com/vul-ie-181104.htm

Por Angela Ruiz
angela@videosoft.net.uy

Secunia reporta el descubrimiento de dos vulnerabilidades en Internet Explorer de Microsoft, que podrían ser explotadas por personas maliciosas para eludir las características de seguridad del SP2 de Windows XP, y de ese modo engañar al usuario para descargar archivos peligrosos.

1. Microsoft Windows XP SP2 posee una característica de seguridad que advierte al usuario cuando éste intenta descargar ciertos tipos de archivos. El problema es cuando el archivo descargado es enviado con un cabezal HTTP "Content-Location". Si este ha sido maliciosamente modificado, ninguna ventana de alerta es mostrada al usuario cuando el archivo es abierto.

2. Un error cuando se graban algunos documentos utilizando la función "execCommand()" de Javascript, podría ser explotado para engañar la verdadera extensión del archivo en la ventana "Guardar página Web". Para una explotación exitosa se requiere que la opción "Ocultar las extensiones de archivos para tipos de archivo conocidos" esté habilitada (lo está por defecto).

La combinación de ambas vulnerabilidades, puede ser explotada por un sitio Web malicioso para engañar al usuario para que descargue un ejecutable peligroso, enmascarado como un documento HTML.

Las vulnerabilidades han sido confirmadas en sistemas con todos los parches instalados, y con Internet Explorer 6.0 y Microsoft Windows XP SP2.


Solución

Deshabilitar la opción "Secuencias de comandos ActiveX" (Active Scripting), y desmarcar la opción "Ocultar las extensiones de archivos para tipos de archivo conocidos", desde "Mi PC", "Herramientas", "Opciones de carpetas", "Ver".

Para desactivar "Secuencias de comandos ActiveX", y mantener Internet Explorer protegido, recomendamos la configuración sugerida en el siguiente artículo de VSAntivirus:

Configuración personalizada para hacer más seguro el IE
http://www.vsantivirus.com/faq-sitios-confianza.htm


Créditos:

cyber flash


Más información:

Microsoft Internet Explorer Two Vulnerabilities
http://secunia.com/advisories/13203/




(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2004 Video Soft BBS