El pasado 5 de febrero Microsoft publicó un nuevo parche acumulativo para las versiones 5.01, 5.5 y 6.0 de Internet Explorer.
Esta actualización, corregía dos vulnerabilidades consideradas
de gravedad ya que podían permitir a un atacante la ejecución de
código malicioso en la máquina del usuario. La información recibida ue la siguiente:
Adicionalmente, el nuevo parche soluciona dos nuevos problemas de seguridad, calificados como críticos ya que pueden ser utilizados por un atacante para forzar la ejecución de código en la máquina del usuario de Internet Explorer.
La primera de las nuevas vulnerabilidades se encuentra en los mecanismos de seguridad que utiliza Internet Explorer para impedir la comunicación entre dos ventanas que estén accediendo a dominios diferentes. Debido a que los mecanismos existentes no son suficientes, existe la posibilidad de que un atacante consiga ejecutar código arbitrario en la máquina del usuario vulnerable (enviando un programa o forzando la ejecución de un ejecutable presente en la máquina del usuario). Para aprovecharse de esta vulnerabilidad el atacante debe convencer al usuario que visite una página web especialmente preparada.
La segunda de las nuevas vulnerabilidades se encuentra en la forma en que Internet Explorer utiliza la función showHelp() para visualizar una página HTML de ayuda. La vulnerabilidad permite a un atacante utilizar esta función para abrir una página sin que se realicen las comprobaciones de seguridad suficientes.
Como en el caso anterior, esta segunda vulnerabilidad también puede ser aprovechada para ejecutar código o bien acceder a la información almacenada en la máquina del usuario.
Una vez aplicado este parche acumulativo, showHelp() dejará de funcionar. Microsoft ha publicado también una nueva versión del motor de ayuda HTML que utiliza un nuevo método para acceder a las páginas HTML de ayuda.
El parche publicado por Microsoft puede instalarse en las máquinas que ejecuten Windows 2000 Service Pack 3 con Internet Explorer 5.01 y Service Pack 3; en Internet Explorer 5.5 con Service Pack y en todas las versiones de Internet Explorer 6.0. Está disponible en la siguiente dirección:
http://www.microsoft.com/windows/ie/downloads/critical/810847/default.asp
La nueva versión del motor de ayuda HTML (811630), necesaria para visualizar las páginas HTML de ayuda una vez instalado el parche acumulativo, en el momento de escribir este boletín sólo puede instalarse a través del servicio Windows Update.
http://windowsupdate.microsoft.com
Tras esta publicación se ha descubierto un problema, no de seguridad
sino de pérdida de funcionalidades, introducido por la aplicación del
parche. Este problema puede afectar principalmente a los usuarios
finales. Específicamente el problema puede impedir que algunos
usuarios se autentifiquen en determinados sitios web de Internet
web como sitios basados en subscripciones, o incluso en el propio
servicio de correo MSN de Microsoft.
Este nuevo problema ha sido resuelto mediante la publicación de un
nuevo parche (hot fix 813951) disponible en:
http://www.microsoft.com/windows/ie/downloads/critical/813951/default.asp
Microsoft aclara que este nuevo parche es para solucionar un problema
que no es de seguridad, y que el anterior parche estaba (y está)
publicado para eliminar las vulnerabilidades anunciadas.
Por: Noticias Hispasec
