Microsoft facilita un nuevo parche para su máquina virtual Java que corrige una vulnerabilidad que permite leer archivos del cliente al visualizar una página o mensaje HTML.
Este problema, descubierto por Guninski, ya se publicó en Hispasec «19/10/2000 – Guninski descubre una nueva vulnerabilidad», donde además de conocer los detalles pueden ver una demostración en línea y comprobar si se encuentran afectados:
http://www.hispasec.com/unaaldia.asp?id=725
Esta vulnerabilidad sólo puede ser explotada para leer, y no es tan grave como la anterior que prácticamente permitía el control total del sistema:
03/10/2000 – Grave vulnerabilidad en Internet Explorer y Outlook
http://www.hispasec.com/unaaldia.asp?id=709
11/10/2000 – Parche *obligado* para usuarios de Windows 9x/Me/NT/2000
http://www.hispasec.com/unaaldia.asp?id=717
Si bien esta nueva vulnerabilidad se presenta en principio en Internet Explorer y Outlook Express, la máquina virtual Java de Microsoft se distribuye en todas las versiones de Windows y puede ser utilizada por otros programas. Por ello se recomienda a todos los usuarios de Windows la actualizaci¢n a la nueva versi¢n 3319.
Microsoft Virtual Machine (Build 3319, released 10/25/00)
http://www.microsoft.com/java/vm/dl_vm40.htm
Opina sobre esta noticia:
http://www.hispasec.com/unaaldiacom.asp?id=731
M s informaci¢n:
Patch Available for New Variant of «VM File Reading» Vulnerability
http://www.microsoft.com/technet/security/bulletin/MS00-081.asp
FAQ Microsoft Security Bulletin (MS00-081)
http://www.microsoft.com/technet/security/bulletin/fq00-081.asp
Bernardo Quintero
bernardo@hispasec.com
http://www.hispasec.com