| Artículos | 01 ENE 2004

Este mes Internet Explorer es el protagonista de la sección, con una oleada de nuevos agujeros de seguridad, algunos de ellos críticos

Tags: Histórico
Gonzalo Alvarez.
Vulnerabilidades parcheadas en Internet Explorer
Siguiendo con la política adoptada el pasado mes de octubre, Microsoft publica mensualmente un recopilatorio de todos los parches para las vulnerabilidades descubiertas a lo largo del mes anterior. Este conjunto de parches aparece el segundo martes de cada mes. Este mes, el parche incluye un conjunto de actualizaciones para Internet Explorer que solucionan cinco problemas de seguridad críticos. Los tres primeros tienen que ver con el modelo de seguridad de dominios cruzados, que impide que ventanas pertenecientes a distintos dominios compartan información. Estas vulnerabilidades podrían dar como resultado la ejecución de scripts en la zona de seguridad local. Para explotarlas, el atacante necesita crear una página web para que la visite la víctima o enviarle un mensaje de correo en HTML. El cuarto agujero se produce por la forma en que se transfiere la información de zona a un objeto XML dentro de Internet Explorer. Esta vulnerabilidad podría permitir a un atacante leer archivos locales en el disco de la víctima. El atacante necesitaría también crear una página web o enviar un correo en HTML a la víctima. Por último, la quinta vulnerabilidad surge en la operación arrastrar-y-soltar durante los eventos HTML dinámicos (DHTML). Permite a un atacante guardar un archivo en el sistema de archivos de la víctima, sin que aparezca ninguna ventana pidiéndole permiso, cuando ésta pulsa sobre un hiperenlace. El atacante podría insertar este hiperenlace en una página web o en un mensaje de correo en HTML.

Solución
Toda la información concerniente a este conjunto de vulnerabilidades, así como el parche para solucionarlas, se puede encontrar en www.microsoft.com/technet/security/bulletin/ms03-048.asp.


Agujeros sin parchear en Explorer
A pesar del nuevo enfoque de publicación mensual de parches de seguridad de Microsoft, las vulnerabilidades siguen apareciendo a ritmo más irregular. Se han publicado nuevos fallos descubiertos por Liu Die Yu que afectan a Internet Explorer, y que aún no han sido solucionados por Microsoft. Las vulnerabilidades reseñadas son cinco: ejecución forzada de archivos utilizando el protocolo mhml: (www.securityfocus.com/bid/9105); revelación de la localización del directorio con los contenidos de la caché por culpa del mal funcionamiento de la cabecera ContentType (www.securityfocus.com/bid/9106); examen de archivos locales debido a un error en el procesamiento de direcciones que empiezan por mhml: (www.securityfocus.com/bid/9107); secuestro del evento de hacer clic con el ratón, lo que podría traducirse en obligar al usuario a hacer cosas que ignora (www.securityfocus.com/bid/9108); y violación de la directiva de dominios cruzados, que permitiría al atacante ejecutar scripts en la zona local (www.securityfocus.com/bid/9109). Algunas de estas vulnerabilidades consideradas individualmente no son críticas, pero combinadas pueden llegar a serlo.

Solución
A la espera de la próxima entrega de parches de Microsoft el segundo martes del mes próximo, actualmente no existe solución para los ataques anteriores.


Denegación de servicio en emisiones de radio
Las emisoras caseras de radio en Internet están proliferando en todo el mundo a medida que se abarata el ancho de banda. Uno de los programas más utilizados como servidor de radio es SHOUTcast Server, de Nullsoft, basado en el software de Winamp. Según informa SecuriTeam.com, una vulnerabilidad en el producto permite a un atacante causar un desbordamiento de búfer en el servidor, que incluso podría conducir a la ejecución de código arbitrario en el mismo.

Solución
Nullsoft todavía no ha publicado ningún parche para solucionar esta vulnerabilidad.

Contenidos recomendados...

Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios
X

Uso de cookies

Esta web utiliza cookies técnicas, de personalización y análisis, propias y de terceros, para facilitarle la navegación de forma anónima y analizar estadísticas del uso de la web. Consideramos que si continúa navegando, acepta su uso. Obtener más información