Categories: SeguridadVirus

Microsoft corrige la vulnerabilidad de falsificación de URLs en Internet Explorer

Con este parche Microsoft rompe su norma de publicar las actualizaciones

el segundo martes de cada mes, lo cual indica la gravedad que los

problemas corregidos suponen para la propia Microsoft.

El primero

de los problemas corregidos es la conocida vulnerabilidad de ocultación

y falsificación de URLs, utilizada en los últimos tiempos en varias

estafas de banca online como el caso del Banco Popular que ya

denunciamos en este servicio y del cual demostramos su importancia en

varios test que evidenciaban la gravedad del problema.

La

vulnerabilidad estaba relacionada con el tratamiento incorrecto de URLs

que contienen caracteres especiales. Cuando se combinaba con una forma

de autenticación básica de la forma usuario:contraseña@ al comienzo de

la URL, un atacante podía lograr construir un enlace de forma que al

seleccionarlo el usuario visualizara una URL concreta en la barra de

direcciones de Internet Explorer, cuando en realidad se visitaba un

sitio web diferente.

Para demostrar la gravedad e implicaciones

de este problema Hispasec elaboró la siguiente página web con varios

enlaces que demostraban la vulnerabilidad:

http://www.hispasec.com/directorio/laboratorio/Software/tests/falsificaciondeurl.html

La segunda vulnerabilidad está relacionada con el modelo de

seguridad de dominios cruzados de Internet Explorer que evita que

ventanas de diferentes dominios intercambien información. Esta

vulnerabilidad podía llegar a permitir la ejecución de scripts en la

zona de seguridad local.

La última de las vulnerabilidades

corregidas hace relación a la operación de arrastrar y soltar durante

eventos de dynamic HTML (DHTML) en Internet Explorer. Esta

vulnerabilidad puede permitir que se grabe un archivo en el sistema del

usuario si este llega a pulsar en un enlace. Al usuario no se le

presentará ningún cuadro de dialogo para aprobar la descarga.

Al corregir la vulnerabilidad de falsificación de URLs esta actualización de

Internet Explorer también introduce cambios en la funcionalidad de

Autenticación Básica del navegador. El parche elimina el soporte para

tratar nombres de usuario y contraseñas en direcciones HTTP y HTTP con

Secure Sockets Layer (SSL) o HTTPS. Esto quiere decir que no se soporta

la siguiente sintaxis:

http(s)://nombre_de_usuario:contraseña@servidor

Sobre este

asunto Microsoft ha publicado un artículo en su base de conocimientos y

como solventar los problemas que este cambio de comportamiento pueda

ocasionar a desarrolladores de aplicaciones y sitios web.

http://support.microsoft.com/default.aspx?scid=kb;[LN];834489

Las actualizaciones publicadas se pueden descargar desde las siguientes

direcciones:

Internet Explorer 6 Service Pack 1

Internet Explorer 6 Service Pack 1 (64-Bit Edition)

Internet Explorer 6 para Windows Server 2003

Internet Explorer 6 para Windows Server 2003 (64-Bit Edition)

Internet Explorer 6

Internet Explorer 5.5 Service Pack 2

Internet Explorer 5.01 Service Pack 4

Internet Explorer 5.01 Service Pack 3

Internet Explorer 5.01 Service Pack 2

Redacción Silicon

La redacción de Silicon está compuesta por profesionales del periodismo 2.0

Recent Posts

Solamente 2 de cada 10 empresas reducen su huella medioambiental con tecnología

Del porcentaje global del 21 % se baja a un 18 % en el caso…

13 mins ago

Sophos: “El uso más frecuente de la IA en la ciberdelincuencia es para ‘turboalimentar’ sus estafas sociales”

Entrevistamos a John Shier, CTO Field de Sophos, que hace repaso de las principales amenazas…

31 mins ago

¿Cómo convertir a España en hub digital clave para Europa?

Desde fibratel comparten una serie de pautas para orientar la construcción de centros de datos…

43 mins ago

El paralelismo entre la inteligencia artificial y la química

Dell Technologies compara estos ámbitos y habla de "purificar la materia original", "combinar elementos", una…

1 hora ago

OpenAI facilita el uso de ChatGPT en el ordenador

Actualiza la aplicación de escritorio para Windows y anuncia una versión beta para macOS.

2 horas ago

Así son STELLAR-M6 y M6E, los nuevos teléfonos inteligentes de Crosscall

Entre sus características incluyen batería de 4.500 mAh, sensor Sony de 50 MP y conectividad…

3 horas ago