Categories: SeguridadVirus

Microsoft corrige la vulnerabilidad de falsificación de URLs en Internet Explorer

Con este parche Microsoft rompe su norma de publicar las actualizaciones

el segundo martes de cada mes, lo cual indica la gravedad que los

problemas corregidos suponen para la propia Microsoft.

El primero

de los problemas corregidos es la conocida vulnerabilidad de ocultación

y falsificación de URLs, utilizada en los últimos tiempos en varias

estafas de banca online como el caso del Banco Popular que ya

denunciamos en este servicio y del cual demostramos su importancia en

varios test que evidenciaban la gravedad del problema.

La

vulnerabilidad estaba relacionada con el tratamiento incorrecto de URLs

que contienen caracteres especiales. Cuando se combinaba con una forma

de autenticación básica de la forma usuario:contraseña@ al comienzo de

la URL, un atacante podía lograr construir un enlace de forma que al

seleccionarlo el usuario visualizara una URL concreta en la barra de

direcciones de Internet Explorer, cuando en realidad se visitaba un

sitio web diferente.

Para demostrar la gravedad e implicaciones

de este problema Hispasec elaboró la siguiente página web con varios

enlaces que demostraban la vulnerabilidad:

http://www.hispasec.com/directorio/laboratorio/Software/tests/falsificaciondeurl.html

La segunda vulnerabilidad está relacionada con el modelo de

seguridad de dominios cruzados de Internet Explorer que evita que

ventanas de diferentes dominios intercambien información. Esta

vulnerabilidad podía llegar a permitir la ejecución de scripts en la

zona de seguridad local.

La última de las vulnerabilidades

corregidas hace relación a la operación de arrastrar y soltar durante

eventos de dynamic HTML (DHTML) en Internet Explorer. Esta

vulnerabilidad puede permitir que se grabe un archivo en el sistema del

usuario si este llega a pulsar en un enlace. Al usuario no se le

presentará ningún cuadro de dialogo para aprobar la descarga.

Al corregir la vulnerabilidad de falsificación de URLs esta actualización de

Internet Explorer también introduce cambios en la funcionalidad de

Autenticación Básica del navegador. El parche elimina el soporte para

tratar nombres de usuario y contraseñas en direcciones HTTP y HTTP con

Secure Sockets Layer (SSL) o HTTPS. Esto quiere decir que no se soporta

la siguiente sintaxis:

http(s)://nombre_de_usuario:contraseña@servidor

Sobre este

asunto Microsoft ha publicado un artículo en su base de conocimientos y

como solventar los problemas que este cambio de comportamiento pueda

ocasionar a desarrolladores de aplicaciones y sitios web.

http://support.microsoft.com/default.aspx?scid=kb;[LN];834489

Las actualizaciones publicadas se pueden descargar desde las siguientes

direcciones:

Internet Explorer 6 Service Pack 1

Internet Explorer 6 Service Pack 1 (64-Bit Edition)

Internet Explorer 6 para Windows Server 2003

Internet Explorer 6 para Windows Server 2003 (64-Bit Edition)

Internet Explorer 6

Internet Explorer 5.5 Service Pack 2

Internet Explorer 5.01 Service Pack 4

Internet Explorer 5.01 Service Pack 3

Internet Explorer 5.01 Service Pack 2

Redacción Silicon

La redacción de Silicon está compuesta por profesionales del periodismo 2.0

Recent Posts

Telefónica Empresas ayudará a Microsoft a expandir los Copilot+ PC por España

Acompañará a las empresas en sus procesos de equipamiento, desde la elección del hardware hasta…

5 horas ago

IBM y Esade promueven el uso de la IA en los Consejos de Administración

Juntos, trabajarán en la formación y la actualización de habilidades para que los consejeros impulsen…

5 horas ago

ASUS lanza un Mini PC con inteligencia artificial

Este dispositivo incluye entre sus especificaciones procesador Intel Core Ultra (Serie 2) y botón Copilot.

6 horas ago

EasyVisa adquiere una participación mayoritaria en OTRS Group

Ya cuenta en su poder con más del 90 % de las acciones del proveedor…

7 horas ago

SoftwareOne y Crayon acuerdan fusionarse

Los actuales consejeros delegados, Raphael Erb y Melissa Mulholland, se convertirán en co-CEOs de la…

8 horas ago

Karen Gaines dirigirá la práctica de Seguridad y Resiliencia de Kyndryl en España y Portugal

Liderará una unidad de negocio con la que Kyndryl permite a sus clientes reforzar operaciones…

8 horas ago