Alerta Máxima de seguridad en Internet Explorer
Alerta Máxima de seguridad en Internet Explorer
Un error en Internet Explorer en la inicialización de objetos relacionados con la funcion “window()” en conjunto con el evento “
” puede permitir la ejecución de código arbitrario en sistemas vulnerables. La vulnerabilidad puede ser explotada mediante el uso de código javascript malicioso.-Persuadiendo al usuario para acceder a un documento HTML especialmente modificado (ej.: una página web o un mensaje de correo electrónico HTML) un atacante podría ejecutar código con los privilegios del usuario en un sistema vulnerable.-
Ya se ha difundido al menos un “exploit”.-
Versiones que contienen esta vulnerabilidad:
Internet Explorer en Microsoft Windows 98
Internet Explorer en Microsoft Windows 98 Segunda Edición
Internet Explorer en Microsoft Windows Millenium
Internet Explorer en Microsoft Windows 2000 con Service Pack 4
Internet Explorer en Microsoft Windows XP con Service Pack 2
Corrección de la vulnerabilidad:
Hasta el momento, Microsoft no ha liberado ningún “parche” para corregir esta vulnerabilidad. Lo que se aconseja es configurar Internet Explorer para deshabilitar el scripting.-
Se recomienda seguir atentamente las noticias que Microsoft publique en http://www.microsoft.com/technet/security/advisory/911302.mspx.-
También se puede consultar http://www.computerterrorism.com/research/ie/ct21-11-2005 donde se encontrará el “exploit” y prueba de concepto del mismo.-
Para deshabilitar el scripting siga los siguientes pasos:
En Internet Explorer, ingresar al Menú Herramientas / Opciones de Internet
Seleccione la solapa Seguridad
Seleccionar Internet dentro de las zonas de contenido web que figuran al comienzo de la solapa
Luego hacer Click sobre el Botón Nivel Personalizado
Se abrirá una nueva ventana llamada Configuración de Seguridad
Buscar dentro de los ítems que figuran en esta ventana el llamado Automatización
Dentro del ítem automatización, buscar el subítem llamado Secuencia de Comandos ActiveX, seleccionando Desactivar dentro de los valores posibles.
Cabe destacar que la deshabilitación del scripting puede generar algunos inconvenientes con sitios que utilizan esta tecnología para el reconocimiento de usuarios o información ya cargada en estos sitios, por ejemplo, Hotmail utiliza esta tecnología para reconocer al usuario y acceder a la casilla de correo.-
Te gustó esta info?
Siguiente >> |
Rompecadenas el 15 de Abril de 2006Categorías: Seguridad
0 comentario/s hasta el momento
