Microsoft rompe su habitual práctica de publicar boletines y
actualizaciones de seguridad los segundos martes de mes, para
publicar el día uno de diciembre una actualización crítica para
Internet Explorer 6.
La actualización publicada por Microsoft tiene como objeto cubrir una
reciente vulnerabilidad descubierta en su navegador y que permitía
la ejecución de código remota en los sistemas afectados.
La vulnerabilidad está provocada por un error de límites en el
tratamiento los atributos SRC y NAME de las etiquetas IFRAME, lo
que provoca un desbordamiento de búfer al presentar un documento
html maliciosamente preparado a tal efecto. Hay que señalar que ya
existen exploits publicados que aprovechan la vulnerabilidad.
La actualización publicada por Microsoft es acumulativa, lo que quiere
decir que incluye todas las actualizaciones publicadas para Internet
Explorer hasta la fecha.
Microsoft publica las siguientes actualizaciones:
Para Internet Explorer 6 SP 1 sobre Windows 2000 SP4 o Windows XP SP 1:
http://www.microsoft.com/downloads/details.aspx?FamilyId=3A9DBD51-4348-4EE6-9BC1-D9A1E12963EC
Para Internet Explorer 6 SP 1 sobre Windows NT Server 4.0 SP 6a, o Windows NT Server 4.0 Terminal Service Edition SP 6, o Windows 98, o Windows Me:
http://www.microsoft.com/downloads/details.aspx?FamilyId=96DE6C13-4F67-4581-8F51-2C8A90E11C57
Para Internet Explorer 6 para Windows XP SP 1 (64-Bit Edition):
http://www.microsoft.com/downloads/details.aspx?FamilyId=1e9105cf-eb5b-4af5-b73d-03e8969e0b5c
Los sistemas Windows XP con Service Pack 2 instalado no se ven afectados.
Más Información:
Microsoft Security Bulletin MS04-040
Cumulative Security Update for Internet Explorer (889293)
http://www.microsoft.com/technet/security/bulletin/ms04-040.mspx
(Exploit Code Has Been Released) Microsoft Internet Explorer
Buffer Overflow in IFRAME/EMBED Tag Processing Lets Remote Users
Execute Arbitrary Code
http://securitytracker.com/alerts/2004/Nov/1012049.html
Antonio Ropero
[email protected]
Marcadores