Menu
Noticias
Primeros fallos de seguridad de IE bajo SP2
Por si el problema de seguridad descrito hace unas semanas y la consiguiente aparición de una variante de MyDoom que explotaba el fallo no fuesen suficientes, se descubren dos nuevas vulnerabilidades en Internet Explorer incluso con Service Pack 2 instalado. Algunas fuentes alertan de la existencia de muchas otras por descubrir.
19-11-2004 - Un tal Cyber flash ha descubierto dos nuevos fallos de seguridad en Internet Explorer que permiten la descarga de código malicioso sin que el sistema advierta al usuario del potencial peligro. Normalmente, Internet Explorer despliega un aviso cuando el navegador intenta descargar código ejecutable, advirtiendo al usuario de lo peligroso que puede resultar para la máquina la ejecución de código no confiable. Gracias a la modificación de una cabecera en el código HTTP, cyber flash confirmó que es posible evitar que IE alerte al usuario.
El segundo fallo descubierto se aprovecha de un error cuando se graban algunos documentos utilizando la función "execCommand()" de Javascript, y podría ser explotado para modificar y ocultar la verdadera extensión del archivo en la ventana "Guardar documento HTML". Para una explotación exitosa es necesario que la opción "Ocultar las extensiones de archivos para tipos de archivo conocidos" esté habilitada. Esta opción viene habilitada por defecto.
Se ha confirmado que la última versión de Internet Explorer, incluso con los últimos parches y el Service Pack 2 instalado en XP o también bajo Windows 2000, es vulnerable a estos fallos. Secunia recomienda deshabilitar la ocultación de extensiones conocidas, así como el soporte para Active Scripting en el navegador. Igualmente es recomendable la exploración de contenidos a nivel de pasarela para redes de empresa.
El fallo ha sido calificado como "Moderadamente crítico", y junto con la extrema gravedad del error encontrado a principios de noviembre, convierten a IE en el explorador más inseguro del momento, pues ninguno de estos tres fallos de seguridad cuenta con parche oficial que proteja a los usuarios. La empresa Finjan advierte que podrían existir hasta diez vulnerabilidades en Service Pack 2 que aún no han sido desveladas.
Más información y referencias:
Microsoft Internet Explorer Two Vulnerabilities
http://secunia.com/advisories/13203
Advierten sobre diez graves fallos en Windows XP SP2
http://www.vsantivirus.com/12-11-04.htm
Sergio de los Santos
http://www.forzis.com
Bloques informativos
últimas noticias
- Un ejemplo de banca online no segura.
- ¿Qué paso al servidor web de Caja Madrid?
- El sitio web oficial de las Olimpiadas 2008 muestra datos que comprometen su seguridad.
- Un fallo en Ibercaja Directo puede mostrar cuentas y datos a un tercero sin tener que loguearse.
- Firefox e Internet Explorer comparten vulnerabilidad
- Todo sobre la vulnerabilidad en cursores animados
- about:blank en Firefox, el mejor amigo del phishing.
- Fallos descubiertos en el servidor Apache podrían ser usados para realizar diferentes tipos de ataques.
- Un ataque frustrado de hackers a servidores claves a nivel mundial
- McAfee alerta de los riesgos derivados de la escasez de expertos en seguridad en el mundo de la empresa.
Top
- Como se espía una red P2P.
- Un fallo en Ibercaja Directo puede mostrar cuentas y datos a un tercero sin tener que loguearse.
- La caza de los espías del P2P
- Nuevo Informe técnico sobre los posibles riesgos de la Banca Electrónica.
- SITUACION LEGAL DE LAS REDES PEER TO PEER
- Un ejemplo de banca online no segura.
- Las 14 Principales vulnerabilidades de seguridad
- Boletines de Seguridad Microsoft - Enero 2006
- Ya.com ADSL filtra a sus clientes la web del cortafuego ZoneAlarm.
- Panda Software se desmarca de los problemas de filtrado de Ya.com
Se permite la reproducción total o parcial de todos los contenidos siempre que se cite la fuente y se enlace con el original
