Bugs y Exploits

Microsoft acaba de publicar su habitual reporte de problemas de seguridad, como viene haciendo desde hace algún tiempo el segundo martes de cada mes. En él hace referencia a dos vulnerabilidades consideradas de peligrosidad moderada, mientras olvida y deja sin solución otras dos consideradas críticas y que son de dominio público.

10-06-2004 - El pasado día ocho de junio Microsoft hacía público un boletín en el que alertaba de dos nuevas vulnerabilidades conocidas a las que calificaba de moderadas. La primera hace referencia al componente DirectPlay que permite una parada del servicio si se ejecuta la aplicación en red. Afecta a todos los sistemas operativos. La segunda habla de un fallo de seguridad en el visor web Crystal Reports, incluido en paquetes como Visual Studio .NET 2003 y Outlook 2003. El fallo permitiría bajo ciertas circunstancias manipular archivos locales.

Aunque Microsoft haya puesto a disposición de todos parches para solucionarlos y calificado estos problemas como moderados, ha obviado contemplar dos vulnerabilidades mucho más graves descubiertas antes de la publicación de ese boletín y que afectan a un programa mucho más popular como es Internet Explorer. La empresa especializada en dar a conocer fallos de seguridad Secunia, advertía en uno de sus boletines de dos graves fallos de seguridad en Internet Explorer calificados como críticos que permitían la ejecución de código en las víctimas y para los que, tras la publicación del boletín de seguridad de Microsoft el pasado martes, no existe solución oficial.

Uno de los fallos permite la ejecución de cualquier programa alojado en el sistema de la víctima y del que se conozca su ruta. Otro de los fallos permite ejecutar a través de Internet Explorer programas en la zona de seguridad de "Local Machine" lo que implica acceso garantizado a zonas sensibles del sistema operativo.

Estas vulnerabilidades, en combinación con otras conocidas del navegador, permiten la ejecución de código arbitrario en las víctimas con solo visitar un enlace determinado. Secunia reconoce que estas vulnerabilidades están siendo utilizadas masivamente por spammers y otros para la instalación silenciosa de "adware" (programas que emiten publicidad no solicitada) en los sistemas de los usuarios.

Scunia ha podido confirmar los errores en el navegador Internet Explorer parcheado contra todos los problemas de seguridad oficialmente reconocidos hasta ahora.

Existen varias organizaciones y usuarios especializados que hablan de hasta veinte vulnerabilidades no reconocidas oficialmente en el navegador de Microsoft y a las que la empresa de Redmon aún no ha dado solución. No es la primera vez que Microsoft "llega tarde" y deja pasar más de un mes desde que se hace público un fallo hasta que emite una solución para el problema.

Por ahora y hasta que presumiblemente se publique una solución en el próximo boletín programado para el trece de julio, la única forma de prevenir la vulnerabilidad es utilizar otro navegador o elevar el nivel de seguridad del navegador para todas las páginas sospechosas.

Más información y referencias:

Internet Explorer Local Resource Access and Cross-Zone Scripting Vulnerabilities
http://secunia.com/advisories/11793?menu=info

Vulnerability in DirectPlay Could Allow Denial of Service
http://www.microsoft.com/technet/security/bulletin/MS04-016.mspx

Vulnerability in Crystal Reports Web Viewer Could Allow Information Disclosure and Denial of Service
http://www.microsoft.com/technet/security/bulletin/MS04-017.mspx

Sergio de los Santos
http://www.forzis.com