Se trata de un parche acumulativo de forma que, además de las nuevas vunerabilidades, corrige todos los problemas conocidos con anterioridad. Esta política de actualizaciones acumulativas que Microsoft ha incorporado hace apenas unos meses facilita al usuario la instalación y evita problemas que solían ser muy comunes al olvidar aplicar parches específicos.
Las nuevas vulnerabilidades que corrige este parche son:
– Desbordamiento de buffer en el soporte del protocolo Gopher cuya explotación permite la ejecución de código arbitrario.
– Desbordamiento de buffer en un control ActiveX usado para mostrar texto especialmente formateado. Su explotación permite la ejecución de código arbitrario con los privilegios del usuario.
– Vulnerabilidad en una directiva HTML que muestra datos XML permite a un atacante leer contenidos de otros sitios webs al que haya
accedido con anterioridad la víctima.
– Vulnerabilidad en el cuadro de diálogo de descarga de archivos que permite ofuscar el origen.
– Vulnerabilidad en el chequeo de dominios en la etiqueta Object permite transferir datos entre diferentes dominios.
– Nueva variante de Cross-Site Scripting permite a un atacante crear una web que se ejecute en la zona de seguridad Local del visitante, en vez de en la zona Internet que cuenta con mayores restricciones de seguridad.
Se recomienda a todos los usuarios afectados la inmediata instalación del parche, disponible según idioma en la siguiente dirección:
http://www.microsoft.com/windows/ie/downloads/critical/q323759ie/default.asp
