|
Controlado desde el
19/10/97 por NedStat
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro
visitante número desde
el 12 de agosto de 1996
| Parche acumulativo para Internet Explorer (MS01-058) | ||
|---|---|---|
VSantivirus No. 525 - Año 6 - Sábado 15 de diciembre de 2001 Parche acumulativo para Internet Explorer (MS01-058) Por Alejandro Germán Rodríguez (*) Peligros_en_la_red-owner@onelist.com Microsoft ha advertido a sus clientes y usuarios que han sido descubiertas tres nuevas vulnerabilidades que afectan a Internet Explorer en sus versiones 5.5 y 6.0. Estas fallas permitirían tanto ejecutar instrucciones en nuestra maquina, permitir la visualización de información personal o engañarnos haciéndonos creer que se esta haciendo download de una cierta clase de archivo cuando en realidad es de otro tipo. La primera de estas fallas se refiere a la posibilidad que tiene un operador malicioso de un sitio web, tanto desde la Internet como desde una red local, de crear una pagina y modificar ciertos encabezados, de tal manera que, al ser visitada, y luego de cargarse, se ejecute automáticamente un programa en forma arbitraria en la maquina del visitante. Esta falla también puede ser explotada mediante un mail en formato HTML al ser visualizado en la vista previa o al ser abierto. El programa malicioso podría realizar cualquier acción que realizaría el mismo navegante. El peligro de esta falla es obvio toda vez que el ejecutable puede ser tanto un programa troyano, como un virus o una instrucción destructiva. Esta falla solo afecta a Internet Explorer 6.0. La segunda falla descubierta es una nueva variante de una falla ya conocida denominada "Frame Domain Verification" mediante la cual un operador de un sitio web malicioso podría ver archivos en la máquina de un visitante con la sola condición de conocer el nombre y la ubicación de los archivos y que éstos pudiesen ser abiertos en una ventana del navegador. La tercera falla se refiere a la posibilidad por parte de un atacante de introducir ciertos caracteres de tal manera de modificar el nombre de un archivo en la ventana de download para que nos indique que estamos bajando un archivo seguro (P. Ej.: txt) cuando en realidad es un ejecutable. En este caso debemos intervenir activamente permitiendo la bajada del archivo y luego ejecutarlo para vernos afectados. Es de destacar que el parche indicado mas abajo es acumulativo, es decir soluciona todas las fallas detectadas para IE 5.5 SP2 e IE 6.0. Debido a las múltiples vulnerabilidades que abarca, tanto las mencionadas aquí, como otras tratadas con anterioridad, es altamente recomendable su instalación. Asimismo, las vulnerabilidades del navegador de Microsoft, que afecta a los clientes de correo asociados Outlook y Outlook Express han dejado de ser meras curiosidades técnicas reservadas a administradores de sistemas, ya que son activamente explotadas por virus, como es el caso de BadTrans.B, que se esta perfilando como el virus de mayor cantidad de infecciones del año, toda vez que se ejecuta automáticamente con solo visualizar un mail recibido. Por todo lo aquí descripto la instalación de todos los parches se ha vuelto imperiosa. Parches para descargar (seleccionar la versión en español) www.microsoft.com/windows/ie/downloads/critical/Q313675/default.asp Más información: www.microsoft.com/technet/security/bulletin/MS01-058.asp (*) Alejandro Germán Rodríguez Peligros_en_la_red-owner@onelist.com http://es.egroups.com/group/Peligros_en_la_red ICQ # 44796626 Referencias: VSantivirus No. 525 - 15/dic/01 Crítico: el gran parche de Microsoft ¿es la panacea? http://www.vsantivirus.com/15-12-01.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com |
||
