Alguien sabe algo acerca de esta vulnerabilidad en IE 6

Es real.
<pego>

Importantísima vulnerabilidad en Internet Explorer, para la que Microsoft todavía no ha sacado un parche que la corrija:


Security expert http-equiv on Full-Disclosure has reported that the patch for the latest security vulnerability in Microsoft Internet Explorer (MS02-032) doesn't fix the problem. A link to a proof of concept exploit is included in his advisory.
Affected Systems:
Microsoft Internet Explorer 5.01
Microsoft Internet Explorer 5.5
Microsoft Internet Explorer 6.0
Microsoft Internet Explorer 6.0 for Windows Server 2003
Microsoft is already informed, a updated patch may coming soon. In the meantime you should:
Disable Active Scripting or (if possible)

Un-install Microsoft Internet Explorer

View: IE Exploit creating new pop up page
View: Internet Explorer Object Data Remote Execution Vulnerability Advisory
News source: Full-Disclosure



Mientras Microsoft trabaja en ello, los MSMVP's aconsejan encarecidamente cambiar las opciones de java y de scripting del navegador:


Internet Explorer - Herramientas - Opciones de Internet - Seguridad - Internet. Marcar Nivel Personalizado.


Automatización
Automatización de los subprogramas de Java (pedir datos)
Permitir operaciones de pegado por medio de una secuencia de comandos (pedir datos)
Secuencias de comandos ActiveX (pedir datos)

Controles y complementos de ActiveX
=
Activar la secuencias de comandos de los controles ActiveX (Pedir datos)
Descargar los controles firmados para ActiveX (Pedir datos)
Descargar los controles no firmados para ActiveX (Desactivar)
Ejecutar controles y complementos de ActiveX (Desactivar) -->>>> (es éste)
Inicializar y activar la secuancia de comandos de los controles de ActiveX (desactivar)
Microsoft VM - Permisos de Java (seguridad alta)

Misceláneo
=
Desplazar subtramas a través de dominios distintos (activar)
Ejecutar programas y archivos en IFRAME (pedir datos)
Instalacion de los componentes del escritorio (pedir datos)
Mostrar contenido mixto (pedir datos)
Permisos de canal de software (seguridad media)
Tener acceso a origen de datos entre dominios (desactivar)



Ésto nos ofrecerá un nivel aceptable de seguridad hasta que aparezca la actualización correspondiente, aunque se prevee que ésta puede tardar.

Página informativa del Exploit . http://www.eeye.com/html/Research/A...30820.html

Para saber si sufrimos la vulnerabilidad, existe un test en esta página:
http://www.secunia.com/MS03-032 (haced la prueba antes y después de los cambios en IE).

Este tipo de problemas se pueden solucionar si utilizamos otro navegador de Internet distinto de Internet Explorer, y también si navegamos desde una cuenta limitada, sin privilegios de administrador.


(LA SEGURIDAD ANTE TODO)

Saludos,
Enrique Cortés
Windows XP Pro 2600 xpsp1



</pego>
Un saludo...

Ramón Sola @ Málaga.España

Despeja las incógnitas si quieres escribirme. ;-)))
Mueve mucho una ceja, es un tric. (tic)


Las musas inspiraron a Hector Roman () para escribir:

"MS03-032: You are vulnerable!



NOTE: The patch first released by Microsoft has been
proven inadequate against a new variant of the "Object
Data" vulnerability.

Users should disable ActiveX controls and plugins until
Microsoft released a new patch.


For further information see:
http://www.secunia.com/advisories/9580/ "

¿Esta informacion es cierta o es sólo un truco
publicitario?