Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Cuatro parches cuatro... Dos para el Internet Explorer
 
VSantivirus No. 596 - Año 6 - Sábado 23 de febrero de 2002

 Cuatro parches cuatro... Dos para el Internet Explorer
http://www.vsantivirus.com/vulms02-007-008-009-010.htm

Por Redacción VSAntivirus
vsantivirus@videosoft.net.uy

Qué tal el cuento aquél de "¿no quieres sopa?... ¡pues aquí tienes más sopa!"

Cuatro sendos boletines de seguridad, dan cuenta de cuatro vulnerabilidades (dos de ellas bastantes graves), que acaban de ser cerradas mediante los respectivos parches, y dos de las cuáles, afectan al Internet Explorer. Tres de los cuatro parches son considerados críticos, y fueron emitidos el mismo día por Microsoft.

Los parches críticos

1. XMLHTTP Control Can Allow Access to Local Files (MS02-008)

Afecta a los componentes Microsoft XML Core Services (MSXML), incluidos en controles ActiveX que pueden ignorar la configuración de las zonas de seguridad del IE durante una demanda de datos desde un sitio Web, lo que en otras palabras significa que un operador de un sitio malicioso podría pedir y obtener archivos del disco del usuario (sabiendo la ubicación exacta de los mismos dentro del disco duro). Afecta a Windows XP e Internet Explorer 6.0 y a las versiones 2.6, 3.0, y 4.0 de XML, así como a SQL Server 2K.

El parche está disponible en Windows Update
http://windowsupdate.microsoft.com/

También puede ser descargado de aquí:
http://www.microsoft.com/windows/ie/downloads/critical/q317244/default.asp

Más detalles en el boletín de MS
http://www.microsoft.com/technet/security/bulletin/MS02-008.asp


2. Incorrect VBScript Handling in IE can Allow Web Pages to Read Local Files (MS02-009)

Esta es tal vez la más grave de las tres fallas. Afecta al Internet Explorer 5.1, 5.5, y 6.0, y puede permitir que un atacante acceda a archivos en los discos locales de la víctima o que permanezca a la "escucha" espiando sus movimientos. 

La falla fue descubierta por una empresa de software húngara, cuando ésta desarrollaba un producto para Windows XP. El agujero permite el acceso irrestricto a la víctima, pudiéndose obtener fácilmente datos críticos, incluyendo contraseñas, números de tarjetas de crédito, etc., y consiste en una forma errónea de manejar el código Visual Basic Script en los marcos o frames, recurso utilizado para dividir una pantalla Web en varias ventanas con diferente contenido.

Más información:
http://www.microsoft.com/technet/security/bulletin/MS02-009.asp

Descarga del parche:
http://www.microsoft.com/windows/ie/downloads/critical/q318089/default.asp


3. Unchecked Buffer in ISAPI Filter Could Allow Commerce Server Compromise (MS02-010)

Esta falla afecta los servidores Microsoft Commerce Server 2000 usados en sitios dedicados al comercio electrónico, y permite un ataque de negación de servicios a los mismos.

Por defecto, Commerce Server 2000 instala un .dll con un filtro llamado AuthFilter que permite varios métodos de autentificación del usuario. Un desbordamiento de búfer puede ser explotado maliciosamente para tomar el control del servidor, debido a los privilegios conque corre esta parte del software, privilegios que son heredados si se obtiene por medio de la misma la ejecución de cualquier software de control vía remota.

Más detalles:
http://www.microsoft.com/technet/security/bulletin/MS02-010.asp

Descarga del parche:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=36683

Un parche menos crítico para usuarios de Microsoft SQL Server

4. SQL Server Remote Data Source Function Contain Unchecked Buffers (MS02-007)

La solución para esta falla fue liberada un día antes de las anteriores, y afecta a los servidores SQL 7.0 y 2000. El agujero fue reparado con el parche publicado en el boletín MS02-007 de Microsoft. Esta falla puede permitir a un atacante invadir un sistema afectado, e incluso ejecutar en él su propio código, con consecuencias imprevisibles.

Más información:
http://www.microsoft.com/technet/security/bulletin/ms02-007.asp


(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com 		 

Copyright 1996-2002 Video Soft BBS