Controlado desde el
19/10/97 por NedStat
|
|
MS03-048 Actualización acumulativa para IE (824145)
|
| |
VSantivirus No. 1224 Año 8, Jueves 13 de noviembre de 2003
MS03-048 Actualización acumulativa para IE (824145)
http://www.vsantivirus.com/vulms03-048.htm
Por Redacción VSAntivirus
vsantivirus@videosoft.net.uy
Diversos problemas de seguridad identificados en Microsoft Internet Explorer (IE) podrían permitir a un usuario malintencionado poner en peligro sistemas que tienen IE instalado, incluso aunque no se utilice como explorador de Web.
Nivel de gravedad: Crítico
Impacto: Ejecución remota de código
Fecha publicación: 11 de noviembre de 2003
Fecha última revisión: 12 de noviembre de 2003
Programas afectados:
Microsoft Windows 98
Microsoft Windows 98 Second Edition
Microsoft Windows Millennium Edition
Microsoft Windows NT Workstation 4.0 Service Pack 6a
Microsoft Windows NT Server 4.0 Service Pack 6a
Microsoft Windows NT Server 4.0 Terminal Server Edition, SP6
Microsoft Windows 2000 SP2, SP3, SP4
Microsoft Windows XP, Microsoft Windows XP Service Pack 1
Microsoft Windows XP 64-Bit Edition
Microsoft Windows XP 64-Bit Edition Version 2003
Microsoft Windows Server 2003
Microsoft Windows Server 2003, 64-Bit Edition
Componentes afectados:
Internet Explorer 6 Service Pack 1
Internet Explorer 6 Service Pack 1 (64-Bit Edition)
Internet Explorer 6 Service Pack 1 para Windows Server 2003
Internet Explorer 6 SP1 para Windows Server 2003 (64-Bit)
Internet Explorer 6
Internet Explorer 5.5 Service Pack 2
Internet Explorer 5.01 Service Pack 4
Internet Explorer 5.01 Service Pack 3
Internet Explorer 5.01 Service Pack 2
Descripción
Esta actualización acumulativa para el Internet Explorer, incluye todas las revisiones publicadas anteriormente para Internet Explorer 5.01, 5.5 y 6.0.
Adicionalmente, elimina las siguientes vulnerabilidades:
º Tres vulnerabilidades que afectan al modelo de seguridad de dominios cruzados (cross-domain security model), cuya misión es evitar que ventanas del navegador con diferentes dominios puedan intercambiar información. Estas vulnerabilidades pueden permitir la ejecución de un script en la zona de seguridad local (Mi PC).
Para explotar una de estas fallas, un atacante puede crear un sitio web con una página HTML diseñada para ello, o crear un mensaje electrónico malicioso con formato HTML. Después que la víctima visita la página web o visualiza el correo electrónico, el atacante podría conseguir el acceso a información de otros sitios web. También podría acceder a los archivos y ejecutar código en forma arbitraria, en el sistema del usuario. Este código se ejecutaría en el mismo contexto de seguridad de la víctima.
º Otra vulnerabilidad está relacionada con la manera que la información es pasada a un objeto XML dentro del Internet Explorer. Esta vulnerabilidad podría permitir a un atacante, leer los archivos locales en el sistema del usuario. Para explotar esta falla, el atacante tendría que diseñar un sitio web malicioso que contenga una página web preparada para explotarla, y luego persuadir al usuario a visitarla. También podría hacerlo por medio de un correo electrónico con formato HTML.
Después que el usuario visita la página o visualiza el correo malicioso, sería incitado a descargar un archivo HTML por medio de un enlace. Si el usuario acepta la descarga de este archivo, el atacante podría leer los archivos locales que estén en una ubicación conocida en el sistema de usuario.
º La última vulnerabilidad está relacionada con las operaciones de arrastrar y soltar (Drag-and-Drop), durante eventos de HTML dinámicos (DHTML), en el Internet Explorer.
Esta falla podría permitir al atacante subir archivos a una ubicación determinada del sistema de la víctima, por solo pulsar la misma en un enlace malicioso. La falla permite que esto se haga sin que se muestre ningún cuadro de diálogo solicitando la aprobación de la descarga. Para explotar esta falla, el atacante tendría que diseñar un sitio web malicioso conteniendo una página web preparada para explotarla, y luego persuadir al usuario a visitarla. También podría hacerlo por medio de un correo electrónico con formato HTML.
Del mismo modo como ocurría con los anteriores parches acumulativos para el IE, realizados en los boletines MS03-004, MS03-015, MS03-020, MS03-032 y MS03-040 (suplantados por el actual), este parche causará que la función window.showHelp( ) deje de funcionar. Si usted ha aplicado previamente la actualización del componente HTML Help, desde el artículo 811630 de la Knowledge Base (http://support.microsoft.com/default.aspx?scid=kb;en-us;811630), podrá seguir utilizando la funcionalidad HTML Help, luego de aplicar este parche.
Rating de Severidad:
Vulnerabilidades Cross-Domain:
IE 5.01 SP2, SP3, SP4 (Crítico)
IE 5.5 SP2 (Crítico)
IE 6 e Internet Explorer 6 SP1 (Crítico)
IE 6 SP1 para Windows Server 2003 (Moderado)
IE 6 SP1 para Windows Server 2003 (64-Bit) (Moderado)
Vulnerabilidades en objetos XML:
IE 5.01 SP2, SP3, SP4 (No afectado)
IE 5.5 SP2 (Moderado)
IE 6 e Internet Explorer 6 SP1 (Moderado)
IE 6 SP1 para Windows Server 2003 (Bajo)
IE 6 SP1 para Windows Server 2003 (64-Bit) (Bajo)
Vulnerabilidades en Drag-and-Drop:
IE 5.01 SP2, SP3, SP4 (Crítico)
IE 5.5 SP2 (Crítico)
IE 6 e Internet Explorer 6 SP1 (Crítico)
IE 6 SP1 para Windows Server 2003 (Moderado)
IE 6 SP1 para Windows Server 2003 (64-Bit) (Moderado)
Severidad general para todas las vulnerabilides:
IE 5.01 SP2, SP3, SP4 (Crítico)
IE 5.5 SP2 (Crítico)
IE 6 e Internet Explorer 6 SP1 (Crítico)
IE 6 SP1 para Windows Server 2003 (Moderado)
IE 6 SP1 para Windows Server 2003 (64-Bit) (Moderado)
IMPORTANTE
Actualizaciones:
2/feb/04 - Este parche ha sido sustituido por un nuevo parche acumulativo:
MS04-004 Actualización acumulativa para IE (832894)
http://www.vsantivirus.com/vulms04-004.htm
Este parche sustituye a los anteriores (MS03-015, MS03-020, MS03-032, MS03-040).
Más información:
Microsoft Security Bulletin MS03-048
http://www.microsoft.com/technet/security/bulletin/MS03-048.asp
http://www.microsoft.com/security/security_bulletins/ms03-048.asp
Microsoft Knowledge Base Article - 824145
http://support.microsoft.com/?kbid=824145
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
 
|
|
