Menu
Noticias
Microsoft no publica parche para la última vulnerabilidad de IE
Microsoft, que los segundos martes de cada mes viene publicando los parches para resolver problemas de seguridad de sus productos, no ha creado este mes ningún código para solventar el último problema de su navegador Internet Explorer. El fallo de seguridad permite ejecutar código arbitrario en la máquina de la víctima.
17-11-2004 - La prestigiosa empresa dedicada a la seguridad Secunia advertía la semana pasada de la existencia de un fallo en Internet Explorer que permitía la ejecución de código arbitrario en la víctima por el simple hecho de visitar un enlace. Tan sólo cinco días después de hacerse pública la vulnerabilidad, aparecía un virus masivo que aprovecha el fallo.
Dos investigadores apodados ?ned" y "SkyLined? descubrieron la que un manejo inadecuado de ciertas etiquetas FRAME e IFRAME en el código HTML podían permitir la ejecución de cualquier tipo de código en la máquina de la víctima bajo los privilegios del usuario actual. En concreto, proporcionando parámetros SRC y NAME desmesuradamente largos a esas etiquetas, se conseguía tomar el control del ordenador si el enlace era visitado con Internet Explorer de Microsoft.
La vulnerabilidad se ha confirmado en todos los Internet Explorer 6.0 bajo Windows 2000 y XP, excepto XP con Service Pack 2 instalado y puede ser explotada por la simple visita de un enlace. En el momento del descubrimiento Secunia calificaba el problema de ?extremadamente crítico? debido a la existencia de código en la red que permitía aprovecharse del fallo.
El anuncio de la vulnerabilidad y del gusano que se aprovecha de ella se hacía público muy pocos días antes del segundo martes de noviembre, momento en el que Microsoft publica sus boletines de seguridad. En esta ocasión, no se supo hasta pasada tal fecha, que Microsoft no publicaba solución alguna para este grave problema, dejando desprotegidos a millones de usuarios. El martes se anunciaba un parche para una importante vulnerabilidad de ISA Server de Microsoft, pero nada acerca del navegador.
No se sabe si programará un parche de forma extraordinaria o esperará todo un mes para solucionar el problema. El fallo no afecta a otros navegadores.
Más información y referencias:
Internet Explorer IFRAME Buffer Overflow Vulnerability
http://secunia.com/advisories/12959/
Sergio de los Santos
http://www.forzis.com
Bloques informativos
últimas noticias
- Un ejemplo de banca online no segura.
- ¿Qué paso al servidor web de Caja Madrid?
- El sitio web oficial de las Olimpiadas 2008 muestra datos que comprometen su seguridad.
- Un fallo en Ibercaja Directo puede mostrar cuentas y datos a un tercero sin tener que loguearse.
- Firefox e Internet Explorer comparten vulnerabilidad
- Todo sobre la vulnerabilidad en cursores animados
- about:blank en Firefox, el mejor amigo del phishing.
- Fallos descubiertos en el servidor Apache podrían ser usados para realizar diferentes tipos de ataques.
- Un ataque frustrado de hackers a servidores claves a nivel mundial
- McAfee alerta de los riesgos derivados de la escasez de expertos en seguridad en el mundo de la empresa.
Top
- Como se espía una red P2P.
- Un fallo en Ibercaja Directo puede mostrar cuentas y datos a un tercero sin tener que loguearse.
- La caza de los espías del P2P
- Nuevo Informe técnico sobre los posibles riesgos de la Banca Electrónica.
- SITUACION LEGAL DE LAS REDES PEER TO PEER
- Un ejemplo de banca online no segura.
- Las 14 Principales vulnerabilidades de seguridad
- Boletines de Seguridad Microsoft - Enero 2006
- Ya.com ADSL filtra a sus clientes la web del cortafuego ZoneAlarm.
- Panda Software se desmarca de los problemas de filtrado de Ya.com
Se permite la reproducción total o parcial de todos los contenidos siempre que se cite la fuente y se enlace con el original
