[IMPORTANTE] 2 vulnerabilidades en Internet Explorer (usad Mozilla Firefox)

21/11/2004 - 14:05 por jingles | Informe spam
Dos vulnerabilidades en Internet Explorer
http://www.vsantivirus.com/vul-ie-181104.htm

Por Angela Ruiz
angela@videosoft.net.uy

Secunia reporta el descubrimiento de dos vulnerabilidades en Internet
Explorer de Microsoft, que podrían ser explotadas por personas maliciosas
para eludir las características de seguridad del SP2 de Windows XP, y de
ese modo engañar al usuario para descargar archivos peligrosos.

1. Microsoft Windows XP SP2 posee una característica de seguridad que
advierte al usuario cuando éste intenta descargar ciertos tipos de
archivos. El problema es cuando el archivo descargado es enviado con un
cabezal HTTP "Content-Location". Si este ha sido maliciosamente
modificado, ninguna ventana de alerta es mostrada al usuario cuando el
archivo es abierto.

2. Un error cuando se graban algunos documentos utilizando la función
"execCommand()" de Javascript, podría ser explotado para engañar la
verdadera extensión del archivo en la ventana "Guardar página Web". Para
una explotación exitosa se requiere que la opción "Ocultar las extensiones
de archivos para tipos de archivo conocidos" esté habilitada (lo está por
defecto).

La combinación de ambas vulnerabilidades, puede ser explotada por un sitio
Web malicioso para engañar al usuario para que descargue un ejecutable
peligroso, enmascarado como un documento HTML.

Las vulnerabilidades han sido confirmadas en sistemas con todos los
parches instalados, y con Internet Explorer 6.0 y Microsoft Windows XP SP2.


Solución

Deshabilitar la opción "Secuencias de comandos ActiveX" (Active
Scripting), y desmarcar la opción "Ocultar las extensiones de archivos
para tipos de archivo conocidos", desde "Mi PC", "Herramientas", "Opciones
de carpetas", "Ver".

Para desactivar "Secuencias de comandos ActiveX", y mantener Internet
Explorer protegido, recomendamos la configuración sugerida en el siguiente
artículo de VSAntivirus:

Configuración personalizada para hacer más seguro el IE
http://www.vsantivirus.com/faq-siti...fianza.htm


Créditos:

cyber flash


Más información:

Microsoft Internet Explorer Two Vulnerabilities
http://secunia.com/advisories/13203/




(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com



Copyright 1996-2004 Video Soft BBS
 

Leer las respuestas

#1 JM Tella Llop [MVP Windows]
21/11/2004 - 14:07 | Informe spam
IP: 216.40.249.48

Jose Manuel Tella Llop
MVP - Windows
(quitar XXX)
http://www.multingles.net/jmt.htm

Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.



"Javier "Inglés" [MVB Windows]" wrote in message news:u39%
Dos vulnerabilidades en Internet Explorer
http://www.vsantivirus.com/vul-ie-181104.htm

Por Angela Ruiz


Secunia reporta el descubrimiento de dos vulnerabilidades en Internet
Explorer de Microsoft, que podrían ser explotadas por personas maliciosas
para eludir las características de seguridad del SP2 de Windows XP, y de
ese modo engañar al usuario para descargar archivos peligrosos.

1. Microsoft Windows XP SP2 posee una característica de seguridad que
advierte al usuario cuando éste intenta descargar ciertos tipos de
archivos. El problema es cuando el archivo descargado es enviado con un
cabezal HTTP "Content-Location". Si este ha sido maliciosamente
modificado, ninguna ventana de alerta es mostrada al usuario cuando el
archivo es abierto.

2. Un error cuando se graban algunos documentos utilizando la función
"execCommand()" de Javascript, podría ser explotado para engañar la
verdadera extensión del archivo en la ventana "Guardar página Web". Para
una explotación exitosa se requiere que la opción "Ocultar las extensiones
de archivos para tipos de archivo conocidos" esté habilitada (lo está por
defecto).

La combinación de ambas vulnerabilidades, puede ser explotada por un sitio
Web malicioso para engañar al usuario para que descargue un ejecutable
peligroso, enmascarado como un documento HTML.

Las vulnerabilidades han sido confirmadas en sistemas con todos los
parches instalados, y con Internet Explorer 6.0 y Microsoft Windows XP SP2.


Solución

Deshabilitar la opción "Secuencias de comandos ActiveX" (Active
Scripting), y desmarcar la opción "Ocultar las extensiones de archivos
para tipos de archivo conocidos", desde "Mi PC", "Herramientas", "Opciones
de carpetas", "Ver".

Para desactivar "Secuencias de comandos ActiveX", y mantener Internet
Explorer protegido, recomendamos la configuración sugerida en el siguiente
artículo de VSAntivirus:

Configuración personalizada para hacer más seguro el IE
http://www.vsantivirus.com/faq-siti...fianza.htm


Créditos:

cyber flash


Más información:

Microsoft Internet Explorer Two Vulnerabilities
http://secunia.com/advisories/13203/




(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com



Copyright 1996-2004 Video Soft BBS

Preguntas similares