Con este parche Microsoft rompe su norma de publicar las actualizaciones
el segundo martes de cada mes, lo cual indica la gravedad que los
problemas corregidos suponen para la propia Microsoft.
El primero
de los problemas corregidos es la conocida vulnerabilidad de ocultación
y falsificación de URLs, utilizada en los últimos tiempos en varias
estafas de banca online como el caso del Banco Popular que ya
denunciamos en este servicio y del cual demostramos su importancia en
varios test que evidenciaban la gravedad del problema.
La
vulnerabilidad estaba relacionada con el tratamiento incorrecto de URLs
que contienen caracteres especiales. Cuando se combinaba con una forma
de autenticación básica de la forma usuario:contraseña@ al comienzo de
la URL, un atacante podía lograr construir un enlace de forma que al
seleccionarlo el usuario visualizara una URL concreta en la barra de
direcciones de Internet Explorer, cuando en realidad se visitaba un
sitio web diferente.
Para demostrar la gravedad e implicaciones
de este problema Hispasec elaboró la siguiente página web con varios
enlaces que demostraban la vulnerabilidad:
http://www.hispasec.com/directorio/laboratorio/Software/tests/falsificaciondeurl.html
La segunda vulnerabilidad está relacionada con el modelo de
seguridad de dominios cruzados de Internet Explorer que evita que
ventanas de diferentes dominios intercambien información. Esta
vulnerabilidad podía llegar a permitir la ejecución de scripts en la
zona de seguridad local.
La última de las vulnerabilidades
corregidas hace relación a la operación de arrastrar y soltar durante
eventos de dynamic HTML (DHTML) en Internet Explorer. Esta
vulnerabilidad puede permitir que se grabe un archivo en el sistema del
usuario si este llega a pulsar en un enlace. Al usuario no se le
presentará ningún cuadro de dialogo para aprobar la descarga.
Al corregir la vulnerabilidad de falsificación de URLs esta actualización de
Internet Explorer también introduce cambios en la funcionalidad de
Autenticación Básica del navegador. El parche elimina el soporte para
tratar nombres de usuario y contraseñas en direcciones HTTP y HTTP con
Secure Sockets Layer (SSL) o HTTPS. Esto quiere decir que no se soporta
la siguiente sintaxis:
http(s)://nombre_de_usuario:contraseña@servidor
Sobre este
asunto Microsoft ha publicado un artículo en su base de conocimientos y
como solventar los problemas que este cambio de comportamiento pueda
ocasionar a desarrolladores de aplicaciones y sitios web.
http://support.microsoft.com/default.aspx?scid=kb;[LN];834489
Las actualizaciones publicadas se pueden descargar desde las siguientes
direcciones:
Internet Explorer 6 Service Pack 1
Internet Explorer 6 Service Pack 1 (64-Bit Edition)
Internet Explorer 6 para Windows Server 2003
Internet Explorer 6 para Windows Server 2003 (64-Bit Edition)
Internet Explorer 5.5 Service Pack 2
Internet Explorer 5.01 Service Pack 4
Acompañará a las empresas en sus procesos de equipamiento, desde la elección del hardware hasta…
Juntos, trabajarán en la formación y la actualización de habilidades para que los consejeros impulsen…
Este dispositivo incluye entre sus especificaciones procesador Intel Core Ultra (Serie 2) y botón Copilot.
Ya cuenta en su poder con más del 90 % de las acciones del proveedor…
Los actuales consejeros delegados, Raphael Erb y Melissa Mulholland, se convertirán en co-CEOs de la…
Liderará una unidad de negocio con la que Kyndryl permite a sus clientes reforzar operaciones…