Atención: Persisten brechas en Microsoft Internet Explorer

21 Oct 2004 en Software

Funcionarios de Microsoft confirmaron el descubrimiento de dos nuevas vulnerabilidades dentro de Internet Explorer 6.0. Las mismas, afectan a todas las versiones de Windows, incluyendo a los usuarios de Windows XP Service Pack 2.  Se puede decir que esta es la seguidilla de la brecha “drag-and-drop,” a la que Microsoft ha estado tratando de solucionar desde hace dos meses.
Las brechas son consideradas como de “alta criticidad” en el reporte emitido ayer por la firma especializada en seguridad Secunia Research. Cuando se explotan ambas brechas, el propietario de un sitio Web puede introducir código malicioso dentro de la carpeta de inicio de un usuario y ejecutarlo cuando la máquina se reinicie.
La primera de las vulnerabilidades es causada por una insuficiente validación de los eventos drag-and-drop desde Internet Zone a la zona de Local Computer. Las imágenes de los archivos descargados por un usuario pueden ser embebidas con código HTML conteniendo scripts arbitrarios y así rebasar las medidas de seguridad existentes.  La segunda vulnerabilidad permite que un control HTML Help embebido se refiera a un archivo “specially crafted index (.hnk)” que ejecutará documentos HTML locales.
“Estas dos vulnerabilidades en combinación con un comportamiento impropio en el que el modelo Actives Data Object (ADO) puede escribir archivos arbitrarios, puede ser explotado con compromiso de todo el sistema de un usuario,” reza en el informe de Secunia. “Esto ha sido confirmado en un sistema con todos los patches e Internet Explorer 6.0 sobre Windows XP SP2.”
La gente de Microsoft subestimó la importancia de las vulnerabilidades debido a que se requiere mucha acción de parte del usuario para lanzar el ejecutable. También se dijo que los usuarios que configuran su seguridad Internet como “alta” no se ven afectados, ni tampoco creen que lo estén los usuarios corporativos donde el administrador restringe el acceso a la carpeta de inicio en la máquina cliente. Además, recordemos que el usuario tiene que visitar el sitio malicioso.
Funcionarios de Microsoft dijeron no conocer el impacto de esta vulnerabilidad y que dependiendo del mismo, liberarán un patch individual o esperarán a hacerlo con el conjunto mensual. Por su parte, Secunia recomienda desactivar Active Scripting o utilizar otro browser que no sea IE. En la siguiente dirección encontrarán un tutorial para desactivar active content: http://support.microsoft.com/default.aspx?scid=kb;en-us;q154036