Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el
19/10/97 por NedStat
MS03-032 Actualización acumulativa para IE (822925)
 
VSantivirus No. 1140 Año 7, Jueves 21 de agosto de 2003

 MS03-032 Actualización acumulativa para IE (822925)
http://www.vsantivirus.com/vulms03-032.htm

Por Lissette Zapata
liszapata@videosoft.net.uy

Nivel de Gravedad: Crítica

Productos afectados por esta actualización:

Microsoft Internet Explorer 5.01
Microsoft Internet Explorer 5.5
Microsoft Internet Explorer 6.0

Se trata de una actualización acumulativa para el Internet Explorer que corrige tres nuevas vulnerabilidades, e incluye además, todas las revisiones publicadas anteriormente para Internet Explorer 5.01, 5.5 y 6.0.

La más grave de todas las fallas, podría permitir a un atacante ejecutar código arbitrario en el sistema de un usuario si éste explorase un sitio Web hostil o abriese un mensaje de correo electrónico en formato HTML especialmente diseñado.

Entre los problemas de seguridad en Microsoft Internet Explorer que se han detectado están los que podrían permitir a un atacante introducirse en un sistema basado en Microsoft Windows y, a continuación, llevar a cabo ciertas tareas. Por ejemplo, se podrían ejecutar programas en el equipo utilizado para ver un sitio Web malicioso, creado por el atacante.

Esto afecta a cualquier equipo con la simple condición de tener Internet Explorer instalado. Es decir, no es necesario que se utilice IE como explorador Web, para verse afectado por este problema.

Descripción de las vulnerabilidades

Ejecución de una secuencia de comandos de caché del explorador en la zona Mi PC

Esta vulnerabilidad afecta al modelo de seguridad entre dominios de Internet Explorer, que normalmente impide que las ventanas de diferentes dominios compartan información. Este defecto podría permitir la ejecución de una secuencia de comandos en la zona Mi PC. Con el fin de aprovecharse de este defecto, un atacante tendría que crear en un sitio Web, una página diseñada para aprovechar esta vulnerabilidad, y a continuación, persuadir a su víctima a que visitara dicha página.

Cuando el usuario visite el sitio, el atacante podría ejecutar una secuencia de comandos malintencionada que podría permitir la carga de código en el contexto de la zona Mi PC de la víctima, incluso invocando cualquier ejecutable que ya estuviera presente en el sistema local, o visualizar los archivos de ese equipo.

Vulnerabilidad de etiquetas de objeto

Internet Explorer no puede determinar correctamente un tipo de objeto que se devuelve de un servidor Web. Un atacante podría utilizar este punto vulnerable para ejecutar código arbitrario en el sistema de un usuario.

Si un usuario visita el sitio Web del atacante, éste podría aprovechar esta vulnerabilidad sin necesidad de ninguna otra intervención de parte del usuario. Un atacante también podría diseñar un mensaje de correo electrónico en formato HTML para aprovecharse de esta vulnerabilidad.

Saturación del búfer BR549.DLL

El control ActiveX BR549.DLL implementaba la compatibilidad para la herramienta de informes de Windows, que ya no es compatible con Internet Explorer.

Se ha descubierto que este control contiene una vulnerabilidad en la seguridad, y a fin de proteger a los clientes que lo tienen instalado, la revisión impide que se ejecute dicho control o que éste vuelva a introducirse en el sistema de los usuarios, configurando el bit de interrupción del mismo.

Otras actualizaciones

Además de las vulnerabilidades descriptas, esta actualización soluciona un defecto en la manera en que Internet Explorer muestra las páginas Web, y que podría permitir a un atacante, a través de una página Web maliciosa, o por medio de un mensaje de correo electrónico con formato HTML, creado maliciosamente, provocar errores en el Outlook Express o en el Explorer de su víctima.

Para comprender mejor estas vulnerabilidades veamos este cuadro comparativo por vulnerabilidad y versión del Explorer.

Ejecución de una secuencia de comandos de caché del explorador en la zona Mi PC

IE 5.01 SP3 (Importante)
IE 5.5 SP2 (Importante)
IE 6.0 Gold (Importante)
IE 6.0 SP1 (Importante)
IE 6.0 para Windows Server 2003 (Moderada)

Vulnerabilidad de etiquetas de objeto

IE 5.01 SP3 (Crítica)
IE 5.5 SP2 (Crítica)
IE 6.0 Gold (Crítica)
IE 6.0 SP1 (Crítica)
IE 6.0 para Windows Server 2003 (Moderada)

Saturación del búfer BR549.DLL

IE 5.01 SP3 (Crítica)
IE 5.5 SP2 (Crítica)
IE 6.0 Gold (Crítica)
IE 6.0 SP1 (Crítica)
IE 6.0 para Windows Server 2003 (Moderada)

Gravedad acumulada de todos los problemas incluidos en esta revisión

IE 5.01 SP3 (Crítica)
IE 5.5 SP2 (Crítica)
IE 6.0 Gold (Crítica)
IE 6.0 SP1 (Crítica)
IE 6.0 para Windows Server 2003 (Moderada)


Más información:

http://www.microsoft.com/security/security_bulletins/ms03-032.asp


IMPORTANTE

Actualizaciones:

04/oct/03 - Este parche ha sido sustituido por un nuevo parche acumulativo:

MS03-040 Actualización acumulativa para IE (828750)
http://www.vsantivirus.com/vulms03-040.htm




(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2003 Video Soft BBS