Se reportarón varias vulnerabilidades en Internet Explorer de Microsoft, que pueden explotarse para mostrar información sensible, engañar a los usuarios para descargar y ejecutar programas arbitrarios, y para comprometer el sistema de un usuario.
Microsoft Security Bulletin
MS05-054 (KB905915)
Internet Explorer | == | 5.01 |
Internet Explorer | == | 5.5 |
Internet Explorer | == | 6.0 |
Se reportarón cinco vulnerabilidades en Internet Explorer de Microsoft, que pueden explotarse por personas maliciosas para mostrar información sensible, engañar a los usuarios para descargar y ejecutar programas arbitrarios, y para comprometer el sistema de un usuario.
Un error de diseño en el procesamiento de los shortcuts del teclado para ciertos dialogos de seguridad puede explotarse, por ejemplo, para retrasar el diálogo "File Download" y engañar a los usuarios para que ejecuten archivos malicosos ".bat" después que presionen la tecla "r".
Un error de diseño en el procesamiento de la entrada del mouse dentro de nuevas ventanas del navegador y la posibilidad de predecir la posición del cuadro de diálogo "File Download" pueden explotarse para engañar al usuario a que teclee el botón "Run" del cuadro de diálogo. Esto es posible causando que el cuadro de diálogo "File Download" se muestre debajo de una nueva ventana del navegador, y engañando al usuario para que de un doble-click dentro de una área específica de la nueva ventana. Lo cual resultará en un click no intensionado sobre el botón "Run" del cuadro de diálogo "File Download" oculto.
Existe un error en Internet Explorer cuando se utiliza con un servidor HTTPS proxy que requiera clientes utilizando autenticación básica. Esto podría causar que las direcciones web que se envián del Internet Explorer sean mostradas a terceros incluso utilizando la conexión HTTPS.
Existe un error cuando ciertos objetos COM que no deberían utilizarse con Internet Explorer son instanciados por este. Esto puede explotarse para ejecutar código arbitrario via una página Web maliciosa que instancie un objeto COM vulnerable.
Existe un error en la inicialización de ciertos objetos cuando se utiliza la función "window()" junto con el evento "
".Esto puede explotarse para ejecutar código arbitrario via una página web maliciosa.Ver:
Ejecución de código arbitrario en 'window()' de Microsoft Internet Explorer.
http://www.seguridad.unam.mx/vulnerabilidadesDB-vulne=4920
Las vulnerabilidades 1, 2 y 5 se confirmarón en un sistema actualizado con Internet Explorer 6.0 y Microsoft Windows XP SP2. Otras versiones también podrían ser afectadas.
Security Bypass.
Exposición de información sensible.
Acceso al sistema.
Aplicar actualizaciones.
Internet Explorer 5.01 SP 4 en Microsoft Windows 2000 (requiere SP4):
http://www.microsoft.com/downloads/details.aspx-FamilyId=4005B74A-D6E6-4A32-A3B1-276686B4A428
Internet Explorer 6 SP 1 en Microsoft Windows 2000 (requiere SP4), o en Microsoft Windows XP (requiere SP1):
http://www.microsoft.com/downloads/details.aspx-FamilyId=A8443CD2-D98D-427B-9F0E-BD7E19FCB994
Internet Explorer 6 para Microsoft Windows XP (requiere SP2):
http://www.microsoft.com/downloads/details.aspx-FamilyId=E4B5BA57-D4F2-4798-9154-2869E371C9D1
Internet Explorer 6 para Microsoft Windows Server 2003 (Con o sin SP1):
http://www.microsoft.com/downloads/details.aspx-FamilyId=9D70FB20-C7C9-43AF-A864-6DBC9A542CC6
Internet Explorer 6 para Microsoft Windows Server 2003 (Itanium) (Con o sin SP1):
http://www.microsoft.com/downloads/details.aspx-FamilyId=1EE790B9-E596-4344-AEC3-FCB3289D7E9C
Internet Explorer 6 para Microsoft Windows Server 2003 x64 Edition:
http://www.microsoft.com/downloads/details.aspx-FamilyId=8E9C23E5-7988-42DA-A8BD-2C1A534BF995
Internet Explorer 6 para Microsoft Windows XP Professional x64 Edition:
http://www.microsoft.com/downloads/details.aspx-FamilyId=E1652B4A-6339-4B31-8ACF-D2A844C24F70
Para Microsoft Windows 98, Microsoft Windows 98 SE, y Microsoft Windows Millennium Edition, ver el aviso del vendedor.
La Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración ó traducción y revisión de éste Documento a:
UNAM-CERT
Equipo de Respuesta a Incidentes UNAM
Coordinación de Seguridad de la Información
incidentes at seguridad.unam.mx
phishing at seguridad.unam.mx
http://www.cert.org.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel: 56 22 81 69
Fax: 56 22 80 47
Aviso legal |
Créditos |
Staff |
Administración
Copyright © Todos los derechos reservados
UNAM - CERT