| Artículos | 01 MAR 2005

Este mes repasamos vulnerabilidades descubiertas en algunos de los navegadores más populares. Siendo la navegación una de las actividades más extendidas entre todos los usuarios de Internet, destaca especialmente la importancia de estos problemas

Tags: Histórico
Gonzalo Alvarez.
Errores en Java
Multitud de aplicaciones web desplegadas en Internet basan su funcionamiento en la utilización de pequeños programas (applets) escritos en Java e insertados dentro de las páginas HTML. Si estos programas se ejecutaran sin ningún tipo de restricciones, dado que el lenguaje Java provee de funciones para acceder al disco local y al sistema, para establecer conexiones remotas, etc., representarían un enorme riesgo para la seguridad de los usuarios. Con el fin de restringir lo que los applets podían llegar a hacer, se implantó desde el comienzo un modelo de seguridad que limitaba drásticamente sus capacidades, conocido como modelo del patio de juegos (Sandbox model). Sin embargo, a veces se producen errores en la implantación de Java en los navegadores o en la propia plataforma Java distribuida por Sun, con lo que vuelve a abrirse la puerta de entrada a los hackers.
Concretamente, se ha descubierto una vulnerabilidad en la plataforma Sun Java 2, Estándar Edition (J2SE) 1.4.2_01 y 1.4.2_04, que puede desembocar en la ejecución de código arbitrario en el sistema vulnerable.

Solución
Sun ha publicado la versión J2SE 1.4.2_07 para solucionar esta vulnerabilidad, en java.sun.com/j2se/1.4.2/download.html.


Vulnerabilidades en Internet Explorer 6
La empresa de seguridad Secunia (secunia.com) ha publicado la existencia de tres vulnerabilidades en Internet Explorer 6, consideradas como extremadamente críticas. La primera de ellas se debe a la validación deficiente de eventos drag and drop desde la zona “Internet” a la zona “intranet local”, lo que podría conducir a que un sitio web malicioso ejecutase código de script arbitrario en la zona “intranet local” del usuario. La segunda es consecuencia de un error en la gestión de las zonas de seguridad, que permite que un control de Ayuda HTML embebido en una página pueda referenciar un archivo índice (.hhk) especialmente creado, de manera que finalmente se pudiera ejecutar código script arbitrario en el equipo de la víctima, en su zona “intranet local”. La tercera también surge como consecuencia de un error de gestión de zonas en controles de Ayuda HTML, con resultados similares. Cualquiera de estas vulnerabilidades, combinada con un comportamiento anómalo de ADO, puede conducir al compromiso total de un sistema Windows XP con Service Pack 2 totalmente parcheado.

Solución
Microsoft no ha reaccionado aún a la noticia, por lo que se recomienda prescindir del uso de Internet Explorer y sustituirlo por otro navegador más seguro, como Opera o Mozilla Firefox. No obstante, en secunia.com/advisories/12889 se explican algunas formas de soslayar el problema si no se puede prescindir de Internet Explorer.


Problemas en Mozilla
Junto con su navegador Firefox 1.0, la suite de Mozilla representa una de las amenazas más serias para la hegemonía de Microsoft. Aunque más seguro que Internet Explorer, eso no evita que también aparezcan problemas, como el descubierto en su gestión del protocolo NNTP para grupos de noticias, de manera que un enlace news:// malicioso podría provocar un desbordamiento de búfer, con la posibilidad de ser explotado para ejecutar código arbitrario en el equipo de la víctima.

Solución
Se recomienda actualizarse a la versión 1.7.5, en www.mozilla.org/products/mozilla1.x.

Contenidos recomendados...

Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios
X

Uso de cookies

Esta web utiliza cookies técnicas, de personalización y análisis, propias y de terceros, para facilitarle la navegación de forma anónima y analizar estadísticas del uso de la web. Consideramos que si continúa navegando, acepta su uso. Obtener más información