PDA

Ver la versión completa : Actualización crítica de Internet Explorer para vulnerabilidad en IFRAME



LUK
02-12-2004, 11:26
Microsoft rompe su habitual práctica de publicar boletines y
actualizaciones de seguridad los segundos martes de mes, para
publicar el día uno de diciembre una actualización crítica para
Internet Explorer 6.

La actualización publicada por Microsoft tiene como objeto cubrir una
reciente vulnerabilidad descubierta en su navegador y que permitía
la ejecución de código remota en los sistemas afectados.

La vulnerabilidad está provocada por un error de límites en el
tratamiento los atributos SRC y NAME de las etiquetas IFRAME, lo
que provoca un desbordamiento de búfer al presentar un documento
html maliciosamente preparado a tal efecto. Hay que señalar que ya
existen exploits publicados que aprovechan la vulnerabilidad.

La actualización publicada por Microsoft es acumulativa, lo que quiere
decir que incluye todas las actualizaciones publicadas para Internet
Explorer hasta la fecha.

Microsoft publica las siguientes actualizaciones:

Para Internet Explorer 6 SP 1 sobre Windows 2000 SP4 o Windows XP SP 1:
http://www.microsoft.com/downloads/details.aspx?FamilyId=3A9DBD51-4348-4EE6-9BC1-D9A1E12963EC

Para Internet Explorer 6 SP 1 sobre Windows NT Server 4.0 SP 6a, o Windows NT Server 4.0 Terminal Service Edition SP 6, o Windows 98, o Windows Me:
http://www.microsoft.com/downloads/details.aspx?FamilyId=96DE6C13-4F67-4581-8F51-2C8A90E11C57

Para Internet Explorer 6 para Windows XP SP 1 (64-Bit Edition):
http://www.microsoft.com/downloads/details.aspx?FamilyId=1e9105cf-eb5b-4af5-b73d-03e8969e0b5c

Los sistemas Windows XP con Service Pack 2 instalado no se ven afectados.

Más Información:

Microsoft Security Bulletin MS04-040
Cumulative Security Update for Internet Explorer (889293)
http://www.microsoft.com/technet/security/bulletin/ms04-040.mspx

(Exploit Code Has Been Released) Microsoft Internet Explorer
Buffer Overflow in IFRAME/EMBED Tag Processing Lets Remote Users
Execute Arbitrary Code
http://securitytracker.com/alerts/2004/Nov/1012049.html


Antonio Ropero
antonior@hispasec.com

<PICCOLO>
02-12-2004, 18:33
Internet explorer?? no era ese más seguro que los demás segun microsoft?

Firefox al poder.

El zorro se come a la mariposa

TseTse
02-12-2004, 18:53
¿Habeis visto lo que tiene previsto sacar Netscape?
Un Netscape basado en Firefox 0.9.3 y una mezcla de Internet Explorer.

TseTse

<PICCOLO>
02-12-2004, 20:41
Sí que lo vi, aunque prefiero Firefox jeje que no necesita "mezclarse" con ninguno para ser de lo mejor.
Por lo visto el Gbrowser (lease el futuro navegador de google) también posiblemente se basará en firefox o mozilla, es bien sabido que google y firefox se llevan bien ( www.google.es/firefox )

Saludos