CornerCircleTop
CornerCircleBottom
VButtonBarBottom
Pàgina Inicial
Una per Dia
Articles
Directori
Biblioteca
Alertes
VButtonBarBottom
Una per Dia

Última Modificació del Document
16 de desembre de 2001


Una per Dia - Tornar a l'índex
Versió en català de "Una al día" d'Hispasec

14 de desembre de 2001 - Important pegat acumulatiu per a l'Internet Explorer

Microsoft publica un pegat acumulatiu que, un cop instal·lat, elimina totes les vulnerabilitats conegudes que afecten a l'Internet Explorer versions 5.5 i 6. A més de solucionar tots els problemes coneguts, el pegat també elimina tres vulnerabilitats noves.

La primera de les noves vulnerabilitats, que només afecta a l'Internet Explorer 6, consisteix en un error en el tractament dels camps Content-Disposition i Content-Type existents a la capçalera HTML que permet fer creure al programa que un fitxer executable és un tipus de fitxer diferent de forma que pot ser obert sense necessitat de demanar confirmació a l'usuari. Això pot permetre a un atacant la creació d'una pàgina web o un missatge HTML que, a l'obrir-se, executi un programa de forma automàtica a l'ordinador de l'usuari.

La segona de les vulnerabilitats és una nova variant de la coneguda com a "Frame Domain Verification" i explicada al butlletí de seguretat MS01-015. Aquesta nova variant pot permetre a un administrador web malèvol obrir dues finestres del navegador, una al domini de la seu web i l'altra al sistema de fitxers local de l'usuari i passar informació d'una finestra a l'altra. Això permet a l'atacant llegir qualsevol fitxer de l'ordinador de l'usuari que sigui accessible pel navegador. Aquesta vulnerabilitat afecta a les versions 5.5 i 6.0 de l'Internet Explorer.

La última de les noves vulnerabilitats, que també afecta a les versions 5.5 i 6.0 de l'Internet Explorer, està relacionada amb un error alhora de mostrar els noms de fitxer en el quadre de diàleg de baixada de fitxers. Al moment d'iniciar la baixada d'un fitxer es mostra el nom del fitxer a un quadre de diàleg, però l'atacant pot falsejar aquest nom. D'aquesta forma un administrador web podrà fer que els usuaris acceptin tipus de fitxers no segurs.

El pegat, que està disponible per a tots les idiomes es pot baixar a l'adreça:

  http://www.microsoft.com/windows/ie/downloads/critical/
  Q313675/default.asp

Més informació

Butlletí de seguretat de Microsoft MS01-058:
Cumulative Patch for IE
http://www.microsoft.com/technet/security/
bulletin/MS01-058.asp

Antonio Ropero
antonior@hispasec.com
Contacte: info@quands.com